- 博客(16)
- 收藏
- 关注
RSS订阅原创 代码安全无小事!6大核心审计法帮你堵住程序漏洞
想象一下:用户隐私数据在暗网被标价叫卖、线上支付系统被恶意篡改交易金额、医院挂号平台因漏洞瘫痪一整天...——就像给软件装上“X光安检机”,在黑客入侵前扫清所有安全隐患!检查框架版本是否落后(如Struts2旧版本有核弹级漏洞)这些真实发生的安全危机,80%源自代码层潜伏的漏洞!✔️ 内存泄漏陷阱(像忘记关掉的水龙头浪费资源)✔️ 危险函数调用(如直接执行用户输入命令)→ 发现23个中低危漏洞,漏掉支付逻辑漏洞。→ 记录系统异常崩溃点,反向定位漏洞。→ 人工审计后追加发现高危垂直越权漏洞。
2025-02-18 09:10:09
550
原创 软件安全测试的核心内容与方法详解
随着信息技术的迅猛发展,软件安全问题变得愈发重要。为了确保软件产品的安全性,软件安全测试已经成为开发周期中不可或缺的一环。它旨在发现和预防潜在的安全威胁,涵盖多个层面的内容,并采用多样化的测试方法。
2025-01-06 16:48:27
932
原创 测试基础之测试分类
它的主要目的是通过系统化的方法发现并修复软件中的缺陷,从而提高软件的质量和可靠性。在软件开发生命周期的不同阶段执行测试,以尽早发现潜在的错误或类型,早期发现缺陷可以降低修复成本。冒烟测试:这个术语源自早期计算机硬件测试中的一种简单检测方法:当技术人员首次给新的硬件组件供电时,如果没有看到任何烟雾冒出(意味着没有短路或其他致命问题),那么就可以认为初步测试通过了。同样地,在软件领域,“不冒烟”意味着程序可以启动并执行最基本的功能,而不会立即失败。
2024-12-26 17:04:57
684
原创 软件测试基础知识
软件测试是指通过一系列预定的操作步骤,验证软件是否按预期工作,并找出其中可能存在的缺陷。它不仅是发现错误的过程,更是提高软件质量和用户满意度的关键环节。
2024-12-24 08:58:04
1588
原创 中国质量认证中心认证技术规范
8) 依据测试结果和运行报告,确定导致重大数据错误事件发生的测试用例数,确定导致次要数据错误事件发生的测试用例数,确定试图造成数据错误事件的测试用例总数,评价软件产品数据错误事件发生的比率。6) 依据测试结果和运行报告,确定测试出的已能正确实现控制非法操作的不同类型数,确定需求规格说明中要求控制的非法操作的类型数,评价软件产品对系统访问的可控制程度。5) 依据测试结果和运行报告,确定系统中已记录的用户访问系统和数据的次数,确定用户实际访问系统和数据的次数,评价软件产品对系统和数据访问的可审核追踪程度。
2024-12-18 14:10:44
1578
1
原创 信息技术应用创新软件适配认证规则
证要求时,CQC 按有关规定对认证证书做出相应的暂停、撤销和注销的处理,并将处理结果进行公告。证书暂停期间,证书持有者如果需要恢复认证证书,应在规定的暂停期限内向 CQC 提出恢复申请,CQC。认证批准后,检测机构负责。证书上的内容发生变化,软件产品的版本、源代码的变更影响到适配结果,及 CQC 规定的其他事项发生。计算,一般不超过 2 个月),未能按期完成整改的,视为申请人放弃申请;当产品检测不合格,CQC做出不合格决定,终止认证。CQC 组织对监督检查结论进行综合评价,评价合格的,认证证书持续有效。
2024-12-17 13:54:45
2048
原创 哪些行业需要软件检测?需要提供什么?(其二)
性能专项测试,俗称性能调优测试,通过对软件/系统的使用场景、高低峰时间、面向用户群体等多方面的调研分析,为软件制定合适的性能测试策略,旨在通过自动化的测试工具模拟多种正常、峰值以及异常负载条件来对软件/系统的各项性能指标进行测试,查找软件/系统的性能瓶颈,为企业及早发现产品的性能问题,降低上线后的运行风险。目前,大量的企业量身定制的软件/系统往往只注重功能的实现与产品的运行效率,对于功能设计的安全性缺乏考虑,如登录未做多次尝试锁,敏感数据未加密存储,关键的数据删除操作未配套日志记录。
2024-12-10 15:10:19
1341
原创 哪些行业需要软件检测?需要提供什么?(其一)
(成果申报、项目结题技术鉴定、政府财政项目验收、招投标、国高产品鉴定、内部项目结题、市场推广、其他第三方检测验收)(负载、容量、吞吐量、稳定性、并发数、响应时间)(手机、浏览器兼容性测试)(软件功能逻辑缺陷测试、安全功能测试、系统bug探测、性能调优、安全环境优化、基线检查)(应用系统、操作系统、数据库、中间件、主机)(主动安全测试)(Java/C#/C/Python/PHP等))(安全风险、漏洞、APP信息采集、个人信息采集)(文档与八大特性测试)(系统、主机、蓝牙、USB等各类有线无线传输接口)
2024-12-09 10:15:19
1227
原创 重磅来袭,“信息技术应用创新软件适配认证“业务上线,首批发证企业征集中
2024年10月, CQC智能评测中心、中检南方、中国电子科技集团公司第七研究所、新华三技术有限公司、宝德计算机系统股份有限公司等单位,共同编制的“信息技术应用创新软件适配测试技术规范”正式发布,通过对应用软件的功能、性能、安全性等方面进行全面的测试,及时发现适配迁移过程中引入的各类缺陷,保证软件迁移后在信创环境中正常运行,满足用户使用需求。近年,信创产业迅速崛起,涵盖了各个领域,然而,原有的应用系统与应用软件多数在非国产化环境开发,可能无法兼容新的信创环境,需要通过信创适配性测试来发现并解决潜在的问题。
2024-12-03 14:42:13
1134
1
原创 软件测试之黑、白、灰盒测试是什么?
软件测试之黑、白、灰盒测试是什么? 知识点一:黑盒测试是什么?1.黑盒测试(Black Box Testing),又称为功能测试或数据驱动测试,是一种基于软件功能需求的测试方法。目标是验证软件是否按照预期的方式工作,确保软件满足用户的需求和规格说明。测试人员将软件视为一个“黑盒子”,只关注输入和输出,而不关心内部的是怎么样实现的。若是将整个软件假设为一辆车,黑盒测试以一个使用者的视角来观察这辆车的功能是否正常。并不需要打开引擎盖,也不需要了解发动机的内部结构和工作原理。你只需要通过观察汽车的表现来判断它是
2024-11-26 08:49:29
1424
原创 确保软件安全:安全功能测试、漏洞扫描、渗透测试和源代码检查
随着信息技术的飞速发展,软件安全问题日益凸显。历史上因为软件安全问题危害企业信誉,侵害个人隐私信息的案例比比皆是,例如: 2017年的Equifax是一家大型信用报告机构。2017年9月,该公司宣布其系统遭受了严重的数据泄露,影响了约1.43亿美国消费者的个人信息。此次数据泄露的主要原因是Equifax未能及时修补其Apache Struts Web应用框架中的一个已知漏洞(CVE-2017-5638)。攻击者利用该漏洞获得了对Equifax系统的访问权限,进而窃取了大量敏感信息。
2024-11-13 09:43:01
2076
原创 信息化项目是如何做验收测试的?内容有哪些
中检南方软件评测中心是具有CNAS与国家CMA资质的国家级双C实验室,具有资深的专业技术团队,配置了一系列国际、行业权威的检测设备与检测工具,建立了整套完善的检测质量控制体系,业务覆盖政务、电力、医疗、互联网等多个行业领域,为广大企业提供软件检测、信息安全检测、网络安全检测、信创检测等一系列的信息化数字化检测服务。5. 首轮测试阶段:测试工程师进行测试环境的确认,确认后执行用例的测试过程,记录测试结果,并将发现的缺陷汇总,形成文档,交付委托方。
2024-10-12 16:19:56
904
原创 软件测试怎么做?有什么用?
中检南方软件评测中心具备权威的CNAS与CMA资质,拥有高水平的技术团队、行业标准化检测工具设备,为广大客户产品提供快捷、高质量的检测服务。指标:响应时间、吞吐量、并发用户数、资源利用率、错误率、恢复时间、延迟。定义:软件在给定资源下完成任务的速度和资源利用率。指标:保密性、完整性、可用性、可审计性、抗抵赖性。指标:功能完整性、准确性、互操作性、依从性。指标:可分析性、可变更性、稳定性、可测试性。指标:适应性、易安装性、遵循性、可替换性。验收测试、鉴定测试、上线测试、应用上架等。
2024-10-09 17:19:26
1850
3
原创 软件测试、信息安全检测该找哪个第三方检测机构?
中检南方的软件评测实验室是中国合格评定国家认可委员会(CNAS) 认可和国家级(CMA)认可的软件评测机构,可对电力及能源、政 府政务、医疗、教育、交通、互联网、家电等多个专业领域的 软件产品及解决方案提供嵌入式产品测评、软件产品检测、信 息系统测评服务、注册和入网测试等服务。我们坚持实事求 是、科学规范、注重质量和讲求实效的原则,建立有一整套完 善、高效、专业的测试流程,具有良好的测试环境,面向软件 供应商和软件用户提供具有高度公信力的检测结果,使之获得双赢。为什么要做软件测试、信息安全检测?
2024-10-08 22:21:00
1177
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人