文档章节

2019测试指南-测试技术解释&手动检查和评论&威胁建模

猪鼻子插葱
 猪鼻子插葱
发布于 02/28 09:11
字数 1030
阅读 22
收藏 0

概述
手动检查是人工审核,通常会测试人员,策略和流程的安全隐患。手动检查还可以包括检查技术决策,例如建筑设计。它们通常通过分析文档或与设计者或系统所有者进行访谈来进行。

虽然手动检查和人工审查的概念很简单,但它们可以是最有效和最有效的技术之一。通过询问某人如何工作以及为何以特定方式实施,测试人员可以快速确定是否可能出现任何安全问题。手动检查和审查是测试软件开发生命周期过程本身的几种方法之一,并确保有适当的策略或技能组合。

与生活中的许多事情一样,在进行人工检查和审查时,建议采用信任 - 验证模型。并非测试仪显示或告知的所有内容都是准确的。手动审核特别适用于测试人们是否了解安全流程,了解策略以及是否具备设计或实施安全应用程序的适当技能。

其他活动,包括手动审阅文档,安全编码策略,安全要求和架构设计,都应使用人工检查完成。

好处:

  • 不需要支持技术

  • 可以应用于各种情况

  • 灵活

  • 促进团队合作

  • 早在SDLC

缺点:

  • 可能很费时间

  • 支持材料并非始终可用

  • 需要重要的人类思想和技能才能有效

威胁建模

概述
威胁建模已成为一种流行的技术,可帮助系统设计人员考虑其系统和应用程序可能面临的安全威胁。因此,威胁建模可视为应用程序的风险评估。实际上,它使设计人员能够针对潜在漏洞制定缓解策略,并帮助他们将不可避免的有限资源和注意力集中在最需要它的系统部分上。建议所有应用程序都开发并记录威胁模型。威胁模型应尽早在SDLC中创建,并应随着应用程序的发展和开发的进展而重新审视。

为了开发威胁模型,我们建议采用遵循NIST 800-30 [11]风险评估标准的简单方法。这种方法涉及:

  • 分解应用程序 - 使用手动检查过程来了解应用程序的工作方式,资产,功能和连接性。

  • 定义和分类资产 - 将资产分类为有形和无形资产,并根据业务重要性对其进行排名。

  • 探索潜在的漏洞 - 无论是技术,运营还是管理。

  • 探索潜在威胁 - 通过使用威胁场景或攻击树,从攻击者的角度开发潜在攻击媒介的真实视图。

  • 制定缓解策略 - 针对每种被认为是现实的威胁制定缓解控制措施。

威胁模型本身的输出可能会有所不同,但通常是列表和图表的集合。OWASP代码审查指南概述了应用程序威胁建模方法,该方法可用作测试应用程序的参考,以应对应用程序设计中的潜在安全漏洞。没有正确或错误的方法来开发威胁模型并对应用程序进行信息风险评估。[12]。

好处:

  • 实用的攻击者对系统的看法

  • 灵活

  • 早在SDLC

缺点: 

  • 相对较新的技术

  • 好的威胁模型不会自动意味着良好的软件

 

© 著作权归作者所有

猪鼻子插葱
粉丝 1
博文 44
码字总数 172746
作品 0
崇明
高级程序员
私信 提问
2019测试指南-安全测试集成在开发和测试工作流程中

开发工作流程中的安全测试 SDLC开发阶段的安全测试代表了开发人员第一次有机会确保他们开发的各个软件组件在与其他组件集成并内置到应用程序之前进行了安全测试。软件组件可能包含软件工件,...

猪鼻子插葱
03/04
24
0
2019测试指南-推导安全测试要求

获得安全测试要求 要获得成功的测试程序,必须知道测试目标是什么。这些目标由安全要求指定。本节详细讨论了如何通过从适用的标准和法规以及正面和负面的应用程序要求中获取安全测试的要求来...

猪鼻子插葱
03/04
12
0
《黑客大曝光-工业控制系统》序章

I 绪言 1.1. 黑客大曝光-工业控制系统的力量 不要误会,本书与其他黑客大曝光【Hacking Exposed】系列一样都遵循着同样的精神。无论您是否将其称为渗透测试(aka pentesting)、道德黑客攻击...

tasnrh
2017/08/03
0
0
2019测试指南-web应用程序安全测试(一)

什么是Web应用程序安全测试? 安全测试是通过有条不紊地验证和验证应用程序安全控制的有效性来评估计算机系统或网络的安全性的方法。Web应用程序安全性测试仅侧重于评估Web应用程序的安全性。...

猪鼻子插葱
03/04
54
0
2019测试指南-测试&测试原理

什么是测试? 在Web应用程序的开发生命周期中,需要测试许多东西,但测试实际上意味着什么?Merriam-Webster Dictionary将测试描述为: 进行测试或证明。 进行测试。 根据测试分配站立或评估...

猪鼻子插葱
02/27
91
0

没有更多内容

加载失败,请刷新页面

加载更多

Tensorflow 2.0安装

Tensorflow2.0安装环境: Ubuntu 16.04或更高(64位) Windows 7或者更高(64位,且支持python3) 安装Tensorflow 2.0 GPU版本的需要安装NVIDIA相关软件包: NVIDIA驱动 :版本必须410.x或更...

JosiahMg
14分钟前
3
0
TL138/1808/6748F-EasyEVM开发板硬件、CPU、FLASH、RAM

TL138/1808/6748F-EasyEVM是广州创龙基于SOM-TL138/SOM-TL1808/SOM-TL6748F核心板开发的一款开发板。由于SOM-TL138/SOM-TL1808/SOM-TL6748核心板管脚兼容,所以此三个核心板共用同一个底板。...

Tronlong创龙
21分钟前
2
0
百度嵌入式AI解决方案EdgeBoard之内存驱动设计介绍

1. 背景介绍 由于 FPGA 具备可编程和高性能计算的特点,基于FPGA硬件的AI计算加速,正广泛地应用到计算机视觉处理领域。其中极具代表性的部署方式之一就是使用FPGA和CPU组合构成异构计算系统...

AI君
27分钟前
5
0
开放应用模型(OAM):全球首个云原生应用标准定义与架构模型

Kubernetes 项目作为容器编排领域的事实标准, 成功推动了诸如阿里云 Kubernetes (ACK)等云原生服务的迅速增长。但同时我们也关注到,Kubernetes 的核心 API 资源比如 Service、Deploymen...

Mr_zebra
30分钟前
3
0
《Linux操作系统-Exynos4412》编译和安装Busybox

开发环境:Exynos4412-iTOP-4412开发板 现在 Busybox 的配置已经完成了,接下来开始编译 Busybox,在 Ubuntu 的终端输入 “make”命令开始编译 Busybox,如下图。 下图为编译过程中的截图。 ...

书白
33分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部