代码安全性审查方法研究

详细信息    查看全文 | 推荐本文 |

英文篇名：Research on Security Audit Method of Source Code 作者：贺江敏 ; 相里朋 英文作者：He Jiangmin;Xiang Lipeng;The 5th Electronics Research Institute of Ministry of Industry and Information Technology; 关键词：信息安全 ; 源代码 ; 安全审查 ; 缺陷 ; 静态分析 ; 软件安全 英文关键词：information security;;surce code;;security audit;;defect;;static analysis;;software security 中文刊名：XAQY 英文刊名：Journal of Information Security Research 机构：工业和信息化部电子第五研究所; 出版日期：2018-11-05 出版单位：信息安全研究 年：2018 期：v.4;No.38 语种：中文; 页：XAQY201811003 页数：10 CN：11 ISSN：10-1345/TP 分类号：15-24

摘要

软件中的安全问题一直是困扰软件行业发展的一个难题,为了找出软件中存在的漏洞和安全隐患,人们发明了各种安全性测试方法,但只有源代码级的测试才能深入挖掘软件中的深层次安全问题.从常用的软件测试方法入手,对代码审查中质量审查和安全性审查的不同点进行了比较,并从代码安全性人工走查和代码安全性工具静态分析2个方面对代码安全性审查的方法进行了研究,最后对代码安全性审查未来发展的方向进行了展望.
        The security problem in software has always been a puzzle for the development of software industry.In order to find out the security vulnerabilities in the software,various of security testing methods have been invented.However,only source code testing can dig deep into the security problems in software.This paper starts with the common software testing methods,compared the difference of quality audit and security audit,and then studies the method of code security audit from two aspects:artificial walkthrough and static analysis of code security tools.Finally,make a prospect of source code security audit.

引文

[1]张建飞.基于航空领域嵌入式软件代码审查的研究[J].科技创新与生产力,2015(10):108-109
    [2]司艳艳.基于嵌入式软件代码审查的研究[J].科技经济市场,2013(6):6-8
    [3]李庆楠.特型软件代码审查方法在军用嵌入式软件领域应用研究[J].信息与电脑:理论版,2016(24):160-163
    [4]方晓宁,孙纪敏.代码审查——实施软件工程化不可忽视的环节[J].无线电通信技术,2003,29(1):36-38,64
    [5]张慧琳,丁羽,张利华,等.基于敏感字符的SQL注入攻击防御方法[J].计算机研究与发展,2016,53(10):2262-2276
    [6]刘仁千,张玉中,张超永.基于源代码的软件安全性测试研究[J].计算机安全,2013(8):32-35
    [7]朱圣才,徐御,王火剑.常见源代码安全漏洞分析与研究[J].信息网络安全,2014(2):48-52
    [8]袁政江.浅谈软件静态测试中的代码审查[J].计算机光盘软件与应用,2012(3):202,204
    [9]张亚楠,谢冬红,邵学彬.静态代码缺陷定位技术研究[J].信息与电脑:理论版,2017(23):16-19