Java 语言源代码漏洞测试规范

微信公众号：计算机与网络安全

▼

Java 语言源代码漏洞测试规范

▼

（全文略）

Java语言是一种面向对象的、运行于Java虚拟机之上的高级程序设计语言。它广泛应用于各种大型信息系统和智能终端应用软件的开发。众所周知，由于各种人为因素影响，每个软件的源代码都难免会存在漏洞，而软件信息泄露、数据或代码被恶意篡改等安全事件的发生一般都与源代码漏洞有关。为尽量减少Java语言源代码中存在的漏洞，有必要制定针对Java语言程序的源代码漏洞测试规范。

源代码漏洞测试可在开发过程的软件编码活动之后实施，也可在运行和维护过程中实施。本文件仅针对自动化静态分析工具支持的关键漏洞进行说明，应用本文件开展源代码漏洞测试时应根据实际需要对漏洞进行裁剪和补充。

本文件规定了Java语言源代码漏洞测试的测试总则和测试内容。本文件适用于开发方或第三方机构的测试人员利用自动化静态分析工具开展的Java语言源代码漏洞测试活动，Java语言的程序设计和编码人员以及源代码漏洞测试工具的设计人员也可参考使用。

源代码作为软件产品的重要组成部分，其测试过程基本等同软件产品的测试过程。本文件遵循《计算机软件测试规范》的要求将源代码测试过程分为测试策划、测试设计、测试执行和测试总结四个阶段。

测试策划主要对整个源代码漏洞测试的过程进行策划。测试策划应确定测试的目标、范围、依据、环境和工具，应分析与评估测试风险，并制定应对措施。测试策划应重点明确源代码漏洞测试应划分的阶段以及各阶段的人员角色、任务、时间和工作成果，形成源代码漏洞测试进度计划表。

测试设计应根据测试目标，结合被测源代码的业务和技术特点，明确测试环境和工具，确定测试需求、测试方法、测试内容、测试准入条件和测试准出条件。测试方法应采用自动化静态分析工具扫描和人工分析相结合的方法。

测试执行包括自动化静态分析工具扫描和人工分析。应根据测试用例明确的操作步骤，使用自动化静态分析工具执行测试，记录测试执行过程及测试结果。应对自动化静态分析工具的测试结果进行人工分析，人工分析宜包括但不限于以下任务：a)宜按漏洞类别或漏洞风险级别从高到低的顺序分析扫描得到的所有源代码漏洞；b)结合源代码的上下文和业务需求，验证疑似漏洞，筛除误报的源代码漏洞；c）与开发人员沟通确认源代码漏洞分析结果。

测试总结应对整个源代码漏洞测试过程进行总结，测试总结应包括但不限于以下任务：a）核查测试环境、工具、内容、方法和结果是否正确；b)确认测试目标和测试需求是否得到满足；c)总结测试内容、方法和结果，出具测试报告。

附：Java 语言源代码漏洞测试规范.pdf

▲
- The end -

原文始发于微信公众号（计算机与网络安全）：Java 语言源代码漏洞测试规范