【技术实现步骤摘要】
一种软件安全威胁分析方法与系统
本申请涉及软件
,尤其涉及一种软件安全威胁分析方法与系统。
技术介绍
软件的安全功能有很多类,如用户登录认证、口令加密、信道加密等。在软件生命周期的各个阶段(需求、设计、测试等),若对安全功能的处理不足,将会引入各种安全缺陷,成为软件中的安全威胁点,给后续的安全功能实现和软件使用带来安全威胁。以往用于软件安全威胁分析的测试数据对应用场景的符合性较差,无法得到更有针对性的数据输出;安全威胁分析数据较为呆板,不够灵活,无法适应快速迭代的安全分析模型。另外,软件测试常常定位于代码级测试,对于在需求阶段、设计阶段引入的安全威胁发现不足。实际上,安全威胁越早发现,越容易处理。
技术实现思路
本申请提出一种软件安全威胁分析方法与系统,解决了软件安全威胁分析过程中测试数据对应用场景的符合性较差,无法适应快速迭代,难以快速定位安全威胁的问题,提高了软件安全威胁的分析效率。本申请实施例提出一种软件安全威胁分析方法,包括以下步骤:构造安全问题库;将...
【技术保护点】
1.一种软件安全威胁分析方法,其特征在于,包括:/n构造安全问题库;/n将所述安全问题库中的安全问题及预期结果映射到安全威胁点数据项、安全需求数据项、消减措施数据项和测试用例数据项,得到预期覆盖;/n检测被测软件对所述安全问题的支持情况,获取被测软件对所述安全威胁点数据项、安全需求数据项、消减措施数据项和测试用例数据项的测试覆盖;/n对比所述预期覆盖和测试覆盖,确定所述被测软件的安全威胁。/n
【技术特征摘要】
1.一种软件安全威胁分析方法,其特征在于,包括:
构造安全问题库;
将所述安全问题库中的安全问题及预期结果映射到安全威胁点数据项、安全需求数据项、消减措施数据项和测试用例数据项,得到预期覆盖;
检测被测软件对所述安全问题的支持情况,获取被测软件对所述安全威胁点数据项、安全需求数据项、消减措施数据项和测试用例数据项的测试覆盖;
对比所述预期覆盖和测试覆盖,确定所述被测软件的安全威胁。
2.根据权利要求1所述的软件安全威胁分析方法,其特征在于,所述安全问题库根据安全处理顺序来构造。
3.根据权利要求1或2所述的软件安全威胁分析方法,其特征在于,基于人工智能模型来构造所述安全问题库。
4.根据权利要求1所述的软件安全威胁分析方法,其特征在于,预先生成所述安全威胁点数据项、安全需求数据项、消减措施数据项和测试用例数据项。
5.根据权利要求1所述的软件安全威胁分析方法,其特征在于,所述安全问题及预期结果映射到安全威胁点数据项、安全需求数据项、消减措施数据项和测试用例数据项的步骤,进一步包括:确定所述安全问题中包含的安全威胁点,确定达到预期结果的安全需求,确定解决所述安全问题的消减措施,确定验证所述安全问题的测试用例。
6.根据权利要求1所述的软件安全威胁分析方法,其特征在于,所述预期覆盖或测试覆盖的内容包括:覆盖的数据项及数目、覆盖的数据项中的记录及次数。
7.根据权利要求6所述的软件安全威胁分析方法,其特征在于,所述对比所述预期覆盖和测试覆盖,确定所述被测软件的安全威胁的步骤,进一步包括:
若测试覆盖中的数据项数目少于预期覆盖中的数据项数目,则预期覆盖中存在但测试覆盖中不存在的数据项存在...
【专利技术属性】
技术研发人员:宣军法,路向宇,陈星,李乔,
申请(专利权)人:中国人寿保险股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。