软件安全静态分析工具FindBugs.PPT

* 基于风险的安全测试 风险分析，特别是在设计级中，可以帮助我们确定潜在的设计级安全问题和它们的影响。 一旦风险被确定并进行了评级，就有助于指导软件安全测试。 * 滥用案例 需求和 使用案例 体系结构 和设计 测试计划 代码 测试和 测试结果 从应用领 域的反馈 滥用案例 安全需求 风险分析 基于风险的安全测试 代码审核 （工具） 风险分析 渗透测试 安全操作 ① ② ② ③ ④ ⑤ ⑥ ⑦ * 滥用案例 软件开发人员倾向于根据系统在一切条件满足的情况下的表现来描述软件需求，这将导致以正确的使用为前提而描述系统的规范行为。 如果系统会被有意滥用，为了开发出安全、可靠的软件，就必须设法预测异常行为。 * 滥用案例 例如：对于一个工资支付系统，可能有这样的用例“系统允许HR管理部门的用户查看和修改所有员工的工资”、“系统只允许基本用户查看自己的工资”。 但是对于潜在攻击者，可能会试图获取工资支付系统中的特别权限，以删除所有欺诈交易的证据；或者攻击者设法将工资支付推迟几天以挪用由推迟产生的利息。 因此，为开发安全的软件，需要像坏攻击者一样思考问题。 * 滥用案例 如何创建 提出一些假设，说明可能出现的问题。 仔细考虑负面和意外的事件。 向攻击者一样地考虑问题。 攻击者：企图使软件以某种不可预料的方式运行，以从中获益。 攻击时经常探测的地方：边界条件、边缘、系统之间的通信，以及系统前提假设。 聪明的攻击者经常设法破坏建造系统的前提假设。 滥用案例的目标之一：软件应该如何对非法使用做出反应。 文档 需求 使用 案例 攻击 模式 可交付 文档 攻击模型 威胁 攻击模式 已评级 的误用和 滥用案例 建造滥用案例的简单过程图 输入 活动 输出 安全分析人员 需求分析人员 确定威胁 文档威胁 审核威胁 创建反需求 创建攻击模型 审核反需求 审核攻击模型 创建误用案例 分析和评级误用 和滥用案例 审核已评级的误 用和滥用案例 * 安全需求 需求和 使用案例 体系结构 和设计 测试计划 代码 测试和 测试结果 从应用领 域的反馈 滥用案例 安全需求 风险分析 基于风险的安全测试 代码审核 （工具） 风险分析 渗透测试 安全操作 ① ② ② ③ ④ ⑤ ⑥ ⑦ * 软件安全与安全操作相结合 需求和 使用案例 体系结构 和设计 测试计划 代码 测试和 测试结果 从应用领 域的反馈 滥用案例 安全需求 风险分析 基于风险的安全测试 代码审核 （工具） 风险分析 渗透测试 安全操作 ① ② ② ③ ④ ⑤ ⑥ ⑦ * 软件安全与安全操作相结合 需求：滥用案例 设计：商业风险分析 设计：体系结构风险分析 测试计划：安全测试 实现：代码审核 系统测试：渗透测试 实际部署系统：配置和操作 * 可信赖计算安全开发生命周期 微软 安全培训 启动安全 并注册 SWI 安全设 计最优 方法 安全体系结构 和攻击面 审核 威胁 建模 使用安全 开发工具 和最优开 发和测试 方法 为产品 创建安 全文档 和工具 预备 安全 反应 计划 安全 推动 渗透 测试 最终 安全 审核 安全 服务 和 反应 执行 需求 设计 实现 验证 发行 支持 和 服务 * Microsoft 的SD3+C原则 Secure by Design, Secure by Default, Secure in Deployment and Communication 设计安全：在架构、设计和实现软件时，应使它在运行时能保护自身及其处理的信息，并能抵御攻击。 默认安全：在现实世界中，软件达不到绝对安全，所以设计者应假定其存在安全缺陷。 部署安全：软件应该随附工具和指导以帮助最终用户和/或管理员安全地使用它。 通信：软件开发者应为产品漏洞的发现做好准备并坦诚负责地与最终用户和/或管理员进行通信，以帮助他们采取保护措施。 * Windows 实施 SDL 之前和之后的严重和重要安全公告数 * SQL Server 2000 实施 SDL 之前和之后的安全公告数 * Exchange Server 2000 实施 SDL 之前和之后的安全公告数 * 谁来实施安全？ Microsoft是假定公司或软件开发组织中存在一个中央安全小组，该小组致力于推动最佳安全做法的制订与改进和流程优化，为整个组织提供专家意见，并在软件发布前对其进行审核（最终安全审核或 FSR）。 Microsoft 的经验是在软件设计和开发过程中必须经常与安全小组进行互动，并必须与其共享敏感的技术和商业信息。 * 软件安全人人有