尊敬的客户，您好，非常荣幸为您提供专业的软件测试服务，仪综所软件测试中心具备国家实验室资质CNAS和CMA认可资格，提供专业测试服务，随着软件行业的不断发展，各个行业对代码安全层面的要求越来越重视，像电力、金融等行业都已经发展出了自己的行业标准。

国内代码测试法规与标准主要有：

1、《C/C++语言源代码漏洞测试规范》GB/T 34943-20174；

2、《Java语言源代码漏洞测试规范》GB/T 34944-20175；

3、《C#语言源代码漏洞测试规范》GB/T 34946-2017。

C/C++语言源代码漏洞测试规范》GB/T 34943-2017、《Java语言源代码漏洞测试规范》GB/T 34944-2017和《C#语言源代码漏洞测试规范》GB/T 34946-2017这三个标准有很多漏洞类型的交集。

GB/T 34944-2017 《Java语言源代码漏洞测试规范》作为Java语言的测试规范，应用范围非常广泛。它当中的有44个类型的漏洞。区别于其他几个的方面主要有可序列化的类、包含敏感数据、会话永不过期、关键参数篡改。

GB/T 34943-2017《C/C++语言源代码洞测试规范》是第二个用得相对比较多的规范。

C/C++语言在客户端的开发、嵌入式的软件开发过程中经常用到。整个标准中一共有32个类型的漏洞。它特有的主要有：堆检查、缓冲区溢出、使用外部控制的格式化字符串、敏感信息存储于上锁不正确的内存空间、公有函数返回私有数组和整数溢出。

源代码漏洞测试过程标准中明确了源代码测试过程分为测试策划、测试设计、测试执行和测试总结四个阶段。这个四个阶段也是软件测试通常用的步骤。先做策划，要知道测试的目标，要测哪些语言，依据的标准，用什么工具，搭建什么样的环境，还涉及到一些人员分工分工和各阶段的交付成果。要按照GB/T15532-2008 这个规范来产生测试各个阶段相应的一些文档。设计阶段的主要是根据测试的的目标结合被测软件源代码的业务和技术特点，明确环境和工具。比如说要测一段java源代码，就要搭建相应的gdk，选择能够支持测试的工具。再有就是明确测试需求、测试方法和内容，以及测试准入条件和测试的准出条件。也就是说测到什么时候为止。这个也是有一定的行业最佳实践的。一般来讲，把软件当中工具发现的、人工挖掘到的高危的、中危的漏洞能够测试出来，并且回归完毕，作为一个关闭的节点，不可能无休止地测下去。

北京第三方软件测试评估中心，提供软件测试专业服务，具备专业的检测技术服务团队，提供CNAS和CMA检测报告。

检测试验找彭工136-9109-3503。

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们