一种基于缺陷的软件安全性测试需求的获取与分级方法技术

本发明专利技术公开了一种基于缺陷的软件安全性测试需求的获取与分级方法，首先根据软件类型确定用户的访问类型和风险等级，及第０层带有数据交互边界的数据流图，确定可能存在缺陷的交互路径及危险等级，再对等级高的进行数据流图分解，抽取第１层基于数据交互边界的数据流图，确定穿越数据交互边界的数据流信息可能存在的缺陷，以确定软件安全性测试需求，并根据ＰＤＤＡＲ模型实现对测试需求的分级。本发明专利技术提供的方法，能够较准确、全面地获得软件安全性测试需求，较以往主要通过描述假想的异常场景，本发明专利技术克服了人为主观造成的软件安全性需求获取的遗漏，避免测试人员评定的主观性；且能够对其进行优先级确定，提高软件安全性测试的效率。

【技术实现步骤摘要】

本专利技术涉及软件安全性测试，尤其涉及一种基于缺陷的软件安全性测试需求的获 取与分级方法。
技术介绍
软件安全性测试作为保证软件安全性的一种重要途径，对于为软件产品进行安全 性评价具有重要的意义。根据国家的规划，软件测试技术将作为保证软件产品安全性的重 要手段，力争使测试越早介入软件开发，从而提高软件抵御潜在风险的能力，降低软件的安 全缺陷率。软件安全性测试需求的获取是生成软件安全性测试用例进行实际测试的基础。目 前在提取软件安全性需求方面主要采取的是安全性用例技术，通过描述假想的异常场景， 进而人工分析提出可能存在的安全性缺陷。然而这种获取软件安全性测试需求的方法缺点 是A.需要专业的软件安全性需求分析人员，并有从事软件安全性分析的大量经验；B.获取软件安全性需求的人为主观性较大；C.获取软件安全性需求时容易造成遗漏或重复；D.不能对需求进行优先级确定。软件安全性测试需求的准确、全面获取一直是软件测试技术所追求的目标之一， 但这是一个极为复杂的问题，就目前的研究成果而言，离全面准确还存在相当大的距离。但 其成功解决对提高软件质量，缩短软件测试时间都具有十分重要的理论意义和使用价值本文档来自技高网...

【技术保护点】
一种基于缺陷的软件安全性测试需求的获取方法，其特征在于：所述方法获取包括如下步骤：（１）确定软件所涉及数据的信息来源，对用户的访问类型进行分类；（２）根据不同的访问类型确定用户风险等级；（３）根据软件结构绘制第０层带有数据交互边界的数据流图；（４）抽取出第０层数据流图中的数据交互路径列表；（５）根据用户风险等级，确定可能存在缺陷的交互路径及其危险等级；（６）对步骤（５）中确定的危险等级高的交互路径，对第０层基于数据交互边界的数据流图进行分解，抽取第１层基于数据交互边界的数据流图；（７）对步骤（６）中得出的第１层基于数据交互边界的数据流图，基于典型软件安全性缺陷，确定穿越数据交互边界的数据流信息...

【技术特征摘要】
一种基于缺陷的软件安全性测试需求的获取方法，其特征在于所述方法获取包括如下步骤(1)确定软件所涉及数据的信息来源，对用户的访问类型进行分类；(2)根据不同的访问类型确定用户风险等级；(3)根据软件结构绘制第0层带有数据交互边界的数据流图；(4)抽取出第0层数据流图中的数据交互路径列表；(5)根据用户风险等级，确定可能存在缺陷的交互路径及其危险等级；(6)对步骤(5)中确定的危险等级高的交互路径，对第0层基于数据交互边界的数据流图进行分解，抽取第1层基于数据交互边界的数据流图；(7)对步骤(6)中得出的第1层基于数据交互边界的数据流图，基于典型软件安全性缺陷，确定穿越数据交互边界的数据流信息可能存在的缺陷；(8)根据步骤(7)中确定的缺陷，确定软件安全性测试需求。2.一种根据权利要求1所述方法获得的软件安全性测试需求，采用PDDAR模型实现对 测试需求的分级的方法，其特征在于所述分级方法包括如下步骤(1)确定缺陷的普遍性属性PE等级，为广泛、高、普通或者有限；(2)确定缺陷的危害性属性DP等级，为关...

【专利技术属性】
技术研发人员：黄松，胡斌，姚奕，刘晓明，惠战伟，任正平，洪宇，饶莉萍，蒋圆圆，郑长友，袁利华，刘艳云，
申请(专利权)人：中国人民解放军理工大学，
类型：发明
国别省市：84[中国|南京]