2020年7月10日,由中国证券监督管理委员会信息中心等单位起草的《证券期货业软件测试指南》正式颁布,针对软件安全测试,明确提出了证券期货行业信息系统建设过程中须开展软件安全测试。其中明确规定了软件安全测试应遵循的目标及流程是什么、软件安全测试技术有哪些、以及软件安全测试的基本测试方法及移动应用安全测试特定测试方法,适用于指导对证券期货行业市场核心机构、证券期货基金经营机构以及证券期货信息技术服务机构等,如何实施证券期货业计算机软件和外部信息系统的安全测试具有重要且明确的指导意义。指南详细指出了在证券期货行业中针对每个具体的系统需要完成的测试方式,其中包括如下几种测试方式:
安全功能检查
通过人工检查、审核的方式对软件开发过程中涉及的安全策略、进度、技术决策(如开发模型等)进行安全功能检查。检查内容包括文档、代码安全策略、安全要求、架构安全性等,检查的形式包括人工文件分析、访谈等。
代码安全测试
通过对软件源代码进行安全扫描和审计,定位漏洞代码所在位置。测试内容分为静态检测与动态检测,覆盖范围广、测试效率高。静态检测基于权威软件安全规范,如开放式Web应用程序安全项目(OWASP)、公共漏洞和暴露(CWE)、支付卡行业数据安全标准(PCI DSS)等,可以发现如变量未初始化、数组越界、缓冲区溢出、浮点数比较、除零等严重代码编写错误,以及其它代码规范问题。动态检测是指运行被测程序,检测内存溢出、资源泄露、进程线程异常等在代码执行时才会发现的安全问题。
漏洞扫描
通过自动化扫描方式,检测系统和应用中存在的安全漏洞。测试内容为基于漏洞数据库或特征库,通过自动化工具扫描、探测等方法对目标系统的安全情况进行检测,发现可利用漏洞的一种安全测试技术。它能够定位漏洞准确位置,覆盖范围广。但由于自动化工具在很多情况下只是提示一种漏洞存在的可能,因此需要对结果进行人工的分析判断。
渗透测试
以攻击者视角进行的黑盒测试,从而获得对应用系统安全的主观评价。测试内容为以未经授权的动作,主要指模拟黑客的各种攻击方法,绕过某一系统的安全机制,对主机或网络进行攻击测试,以检查系统的安全功能,发现安全问题或风险,或者用于重现某一攻击场景。该项测试的测试结果通常真实有效且较为严重。
模糊测试
通过向目标系统提供非预期输入的方式,提高应用程序的健壮性及抵御意外输入时的安全性。测试内容主要是向被测系统提供非预期的输入,并监视系统的异常表现或故障。它充分利用机器的能力通过自动化或半自动化的方式执行,具有智能高效,易于开发适合自身系统的工具等特点。
《证券期货业软件测试指南》中各系统使用证券交易所行业软件安全测试技术对应表如下:
证券交易所行业软件安全测试技术对应表:
期货交易所行业软件安全测试技术对应表:
证券公司行业软件安全测试技术对应表:
基金管理公司行业软件安全测试技术对应表:
期货公司行业软件安全测试技术对应表:
安般科技研究方向涵盖以上代码安全测试、漏洞扫描、渗透测试、模糊测试的技术要求,具体对应的产品如下:
易识
针对代码安全测试研发的易识源代码供应链安全管理系统。通过代码片段识别、构建识别等开源代码库探测技术,全面探测开源组件。易识源代码提供端到端的DevOps流水线自动化集成,从最早期的设计以及代码编写阶段,到编译和测试,以及部署后的监控。面向开源软件采用全面、精确、高时效性的数据挖掘系统,以及灵活安全的部署方案。(对应以上图绿色框标记内容)
易察
针对漏洞扫描和渗透测试研发的易察Web和API漏扫模糊测试系统。结合模糊测试策略和渗透策略开发的全新主动型资产管理和Web 漏洞扫描系统,拥有高效全面的资产发现能力,并可以对常见Web漏洞以及大部分中间件漏洞进行扫描,可以帮助用户快速定位并修复漏洞;并具有API Fuzzing接口安全模糊测试功能,帮助用户提高应用产品接口安全性。(对应以上图蓝色框标记内容)
易恒
针对模糊测试研发的易恒智能模糊测试系统。核心功能是在短时间内生成并执行成千上万个测试用例作为入口函数的输入,全面覆盖系统中可执行的代码路径,以检测软件在各种意外情况下的表现是否正常。在触发软件崩溃后,易恒能够快速找到程序内部各个代码分支中存在的漏洞,并且能够定位错误代码行数、迅速复现和提出修复意见。这种对程序进行测试的过程,不仅是在测试程序的安全性,也是在同时测试程序的稳定性和健壮性。(对应以上图红色框标记内容)
