源代碼審計(jì)測(cè)試

    在數(shù)字化轉(zhuǎn)型加速的，軟件檢測(cè)公司已成為保障各行業(yè)信息化系統(tǒng)穩(wěn)定運(yùn)行的力量。深圳艾策信息科技有限公司作為國(guó)內(nèi)軟件檢測(cè)公司領(lǐng)域的企業(yè)，始終以技術(shù)創(chuàng)新為驅(qū)動(dòng)力，深耕電力能源、科研教育、政企單位、研發(fā)科技及醫(yī)療機(jī)構(gòu)等垂直場(chǎng)景，為客戶提供從需求分析到運(yùn)維優(yōu)化的全鏈條質(zhì)量保障服務(wù)。以專業(yè)能力筑牢行業(yè)壁壘作為專注于軟件檢測(cè)的技術(shù)型企業(yè)，艾策科技通過(guò)AI驅(qū)動(dòng)的智能檢測(cè)平臺(tái)，實(shí)現(xiàn)了測(cè)試流程的自動(dòng)化、化與智能化。其產(chǎn)品——軟件檢測(cè)系統(tǒng)，整合漏洞掃描、壓力測(cè)試、合規(guī)性驗(yàn)證等20余項(xiàng)功能模塊，可快速定位代碼缺陷、性能瓶頸及安全風(fēng)險(xiǎn)，幫助客戶將軟件故障率降低60%以上。針對(duì)電力能源行業(yè)，艾策科技開(kāi)發(fā)了電網(wǎng)調(diào)度系統(tǒng)專項(xiàng)檢測(cè)方案，成功保障某省級(jí)電力公司百萬(wàn)級(jí)用戶數(shù)據(jù)安全；在科研教育領(lǐng)域，其實(shí)驗(yàn)室管理軟件檢測(cè)服務(wù)覆蓋全國(guó)50余所高校，助力科研數(shù)據(jù)存儲(chǔ)與分析的合規(guī)性升級(jí)。此外，公司為政企單位政務(wù)云平臺(tái)、研發(fā)科技企業(yè)創(chuàng)新產(chǎn)品、醫(yī)療機(jī)構(gòu)智慧醫(yī)療系統(tǒng)提供的定制化檢測(cè)服務(wù)，均獲得客戶高度認(rèn)可。差異化服務(wù)塑造行業(yè)作為軟件檢測(cè)公司，艾策科技突破傳統(tǒng)檢測(cè)模式，推出“檢測(cè)+培訓(xùn)+咨詢”一體化服務(wù)體系。通過(guò)定期發(fā)布行業(yè)安全白皮書(shū)、舉辦技術(shù)研討會(huì)。安全審計(jì)發(fā)現(xiàn)日志模塊存在敏感信息明文存儲(chǔ)缺陷。源代碼審計(jì)測(cè)試

    并分發(fā)至項(xiàng)目涉及的所有管理人員和開(kāi)發(fā)人員。5)將測(cè)試目標(biāo)反映在測(cè)試計(jì)劃中。(II)啟動(dòng)測(cè)試計(jì)劃過(guò)程制訂計(jì)劃是使一個(gè)過(guò)程可重復(fù)，可定義和可管理的基礎(chǔ)。測(cè)試計(jì)劃應(yīng)包括測(cè)試目的，風(fēng)險(xiǎn)分析，測(cè)試策略以及測(cè)試設(shè)計(jì)規(guī)格說(shuō)明和測(cè)試用例。此外，測(cè)試計(jì)劃還應(yīng)說(shuō)明如何分配測(cè)試資源，如何劃分單元測(cè)試，集成測(cè)試，系統(tǒng)測(cè)試和驗(yàn)收測(cè)試的任務(wù)。啟動(dòng)測(cè)試計(jì)劃過(guò)程包含5個(gè)子目標(biāo):1)建立**內(nèi)的測(cè)試計(jì)劃**并予以經(jīng)費(fèi)支持。2)建立**內(nèi)的測(cè)試計(jì)劃政策框架并予以管理上的支持。3)開(kāi)發(fā)測(cè)試計(jì)劃模板井分發(fā)至項(xiàng)目的管理者和開(kāi)發(fā)者。4)建立一種機(jī)制，使用戶需求成為測(cè)試計(jì)劃的依據(jù)之一。5)評(píng)價(jià)，推薦和獲得基本的計(jì)劃工具并從管理上支持工具的使用。(III)制度化基本的測(cè)試技術(shù)和方法?為改進(jìn)測(cè)試過(guò)程能力，**中需應(yīng)用基本的測(cè)試技術(shù)和方法，并說(shuō)明何時(shí)和怎樣使用這些技術(shù)，方法和支持工具。將基本測(cè)試技術(shù)和方法制度化有2個(gè)子目標(biāo):1)在**范圍內(nèi)成立測(cè)試技術(shù)組，研究，評(píng)價(jià)和推薦基本的測(cè)試技術(shù)和測(cè)試方法，推薦支持這些技術(shù)與方法的基本工具。2)制訂管理方針以保證在全**范圍內(nèi)一致使用所推薦的技術(shù)和方法。第三級(jí)集成級(jí)在集成級(jí)，測(cè)試不**是跟隨在編碼階段之后的一個(gè)階段。軟件測(cè)試報(bào)告驗(yàn)收安全掃描確認(rèn)軟件通過(guò)ISO 27001標(biāo)準(zhǔn)，無(wú)高危漏洞記錄。

    保留了較多信息，同時(shí)由于操作數(shù)比較隨機(jī)，某種程度上又沒(méi)有抓住主要矛盾，干擾了主要語(yǔ)義信息的提取。pe文件即可移植文件導(dǎo)入節(jié)中的動(dòng)態(tài)鏈接庫(kù)(dll)和應(yīng)用程序接口(api)信息能大致反映軟件的功能和性質(zhì)，通過(guò)一個(gè)可執(zhí)行程序引用的dll和api信息可以粗略的預(yù)測(cè)該程序的功能和行為。belaoued和mazouzi應(yīng)用統(tǒng)計(jì)khi2檢驗(yàn)分析了pe格式的惡意軟件和良性軟件的導(dǎo)入節(jié)中的dll和api信息，分析顯示惡意軟件和良性軟件使用的dll和api信息統(tǒng)計(jì)上有明顯的區(qū)別。后續(xù)的研究人員提出了挖掘dll和api信息的惡意軟件檢測(cè)方法，該類(lèi)方法提取的特征語(yǔ)義信息豐富，但*從二進(jìn)制可執(zhí)行文件的導(dǎo)入節(jié)提取特征，忽略了整個(gè)可執(zhí)行文件的大量信息。惡意軟件和被***二進(jìn)制可執(zhí)行文件格式信息上存在一些異常，這些異常是檢測(cè)惡意軟件的關(guān)鍵。研究人員提出了基于二進(jìn)制可執(zhí)行文件格式結(jié)構(gòu)信息的惡意軟件檢測(cè)方法，這類(lèi)方法從二進(jìn)制可執(zhí)行文件的pe文件頭、節(jié)頭部、資源節(jié)等提取特征，基于這些特征使用機(jī)器學(xué)習(xí)分類(lèi)算法處理，取得了較高的檢測(cè)準(zhǔn)確率。這類(lèi)方法通常不受變形或多態(tài)等混淆技術(shù)影響，提取特征只需要對(duì)pe文件進(jìn)行格式解析，無(wú)需遍歷整個(gè)可執(zhí)行文件，提取特征速度較快。

    它已被擴(kuò)展成與軟件生命周期融為一體的一組已定義的活動(dòng)。測(cè)試活動(dòng)遵循軟件生命周期的V字模型。測(cè)試人員在需求分析階段便開(kāi)始著手制訂測(cè)試計(jì)劃，并根據(jù)用戶或客戶需求建立測(cè)試目標(biāo)，同時(shí)設(shè)計(jì)測(cè)試用例并制訂測(cè)試通過(guò)準(zhǔn)則。在集成級(jí)上，應(yīng)成立軟件測(cè)試**，提供測(cè)試技術(shù)培訓(xùn)，關(guān)鍵的測(cè)試活動(dòng)應(yīng)有相應(yīng)的測(cè)試工具予以支持。在該測(cè)試成熟度等級(jí)上，沒(méi)有正式的評(píng)審程序，沒(méi)有建立質(zhì)量過(guò)程和產(chǎn)品屬性的測(cè)試度量。集成級(jí)要實(shí)現(xiàn)4個(gè)成熟度目標(biāo)，它們分別是:建立軟件測(cè)試**，制訂技術(shù)培訓(xùn)計(jì)劃，軟件全壽命周期測(cè)試，控制和監(jiān)視測(cè)試過(guò)程。(I)建立軟件測(cè)試**軟件測(cè)試的過(guò)程及質(zhì)量對(duì)軟件產(chǎn)品質(zhì)量有直接影響。由于測(cè)試往往是在時(shí)間緊，壓力大的情況下所完成的一系列復(fù)雜的活動(dòng)，因此應(yīng)由訓(xùn)練有素的人員組成測(cè)試組。測(cè)試組要完成與測(cè)試有關(guān)的多種活動(dòng)，包括負(fù)責(zé)制訂測(cè)試計(jì)劃，實(shí)施測(cè)試執(zhí)行，記錄測(cè)試結(jié)果，制訂與測(cè)試有關(guān)的標(biāo)準(zhǔn)和測(cè)試度量，建立鍘試數(shù)據(jù)庫(kù)，測(cè)試重用，測(cè)試**以及測(cè)試評(píng)價(jià)等。建立軟件測(cè)試**要實(shí)現(xiàn)4個(gè)子目標(biāo):1)建立全**范圍內(nèi)的測(cè)試組，并得到上級(jí)管理層的領(lǐng)導(dǎo)和各方面的支持，包括經(jīng)費(fèi)支持。2)定義測(cè)試組的作用和職責(zé)。3)由訓(xùn)練有素的人員組成測(cè)試組。艾策科技案例研究：某跨國(guó)企業(yè)的數(shù)字化轉(zhuǎn)型實(shí)踐。

    置環(huán)境操作系統(tǒng)+服務(wù)器+數(shù)據(jù)庫(kù)+軟件依賴5執(zhí)行用例6回歸測(cè)試及缺陷**7輸出測(cè)試報(bào)告8測(cè)試結(jié)束軟件架構(gòu)BSbrowser瀏覽器+server服務(wù)器CSclient客戶端+server服務(wù)器1標(biāo)準(zhǔn)上BS是在服務(wù)器和瀏覽器都存在的基礎(chǔ)上開(kāi)發(fā)2效率BS中負(fù)擔(dān)在服務(wù)器上CS中的客戶端會(huì)分擔(dān)，CS效率更高3安全BS數(shù)據(jù)依靠http協(xié)議進(jìn)行明文輸出不安全4升級(jí)上bs更簡(jiǎn)便5開(kāi)發(fā)成本bs更簡(jiǎn)單cs需要客戶端安卓和ios軟件開(kāi)發(fā)模型瀑布模型1需求分析2功能設(shè)計(jì)3編寫(xiě)代碼4功能實(shí)現(xiàn)切入點(diǎn)5軟件測(cè)試需求變更6完成7上線維護(hù)是一種線性模型的一種，是其他開(kāi)發(fā)模型的基礎(chǔ)測(cè)試的切入點(diǎn)要留下足夠的時(shí)間可能導(dǎo)致測(cè)試不充分，上線后才暴露***開(kāi)發(fā)的各個(gè)階段比較清晰需求調(diào)查適合需求穩(wěn)定的產(chǎn)品開(kāi)發(fā)當(dāng)前一階段完成后，您只需要去關(guān)注后續(xù)階段可在迭代模型中應(yīng)用瀑布模型可以節(jié)省大量的時(shí)間和金錢(qián)缺點(diǎn)1）各個(gè)階段的劃分完全固定，階段之間產(chǎn)生大量的文檔，極大地增加了工作量。2）由于開(kāi)發(fā)模型是線性的，用戶只有等到整個(gè)過(guò)程的末期才能見(jiàn)到開(kāi)發(fā)成果，從而增加了開(kāi)發(fā)風(fēng)險(xiǎn)。3）通過(guò)過(guò)多的強(qiáng)制完成日期和里程碑來(lái)**各個(gè)項(xiàng)目階段。4）瀑布模型的突出缺點(diǎn)是不適應(yīng)用戶需求的變化瀑布模型強(qiáng)調(diào)文檔的作用，并要求每個(gè)階段都要仔細(xì)驗(yàn)證。艾策檢測(cè)以智能算法驅(qū)動(dòng)分析，為工業(yè)產(chǎn)品提供全生命周期質(zhì)量管控解決方案！深圳軟件檢測(cè)

代碼質(zhì)量評(píng)估顯示注釋覆蓋率不足30%需加強(qiáng)。源代碼審計(jì)測(cè)試

    并將測(cè)試樣本的dll和api信息特征視圖、格式信息特征視圖以及字節(jié)碼n-grams特征視圖輸入步驟s2訓(xùn)練得到的多模態(tài)深度集成模型中，對(duì)測(cè)試樣本進(jìn)行檢測(cè)并得出檢測(cè)結(jié)果。實(shí)驗(yàn)結(jié)果與分析(1)樣本數(shù)據(jù)集選取實(shí)驗(yàn)評(píng)估使用了不同時(shí)期的惡意軟件和良性軟件樣本，包含了7871個(gè)良性軟件樣本和8269個(gè)惡意軟件樣本，其中4103個(gè)惡意軟件樣本是2011年以前發(fā)現(xiàn)的，4166個(gè)惡意軟件樣本是近年來(lái)新發(fā)現(xiàn)的；3918個(gè)良性軟件樣本是從全新安裝的windowsxpsp3系統(tǒng)中收集的，3953個(gè)良性軟件樣本是從全新安裝的32位windows7系統(tǒng)中收集的。所有的惡意軟件樣本都是從vxheavens網(wǎng)站中收集的，所有的樣本格式都是windowspe格式的，樣本數(shù)據(jù)集構(gòu)成如表1所示。表1樣本數(shù)據(jù)集類(lèi)別惡意軟件樣本良性軟件樣本早期樣本41033918近期樣本41663953合計(jì)82697871(2)評(píng)價(jià)指標(biāo)及方法分類(lèi)性能主要用兩個(gè)指標(biāo)來(lái)評(píng)估：準(zhǔn)確率和對(duì)數(shù)損失。準(zhǔn)確率測(cè)量所有預(yù)測(cè)中正確預(yù)測(cè)的樣本占總樣本的比例，*憑準(zhǔn)確率通常不足以評(píng)估預(yù)測(cè)的魯棒性，因此還需要使用對(duì)數(shù)損失。對(duì)數(shù)損失(logarithmicloss)，也稱交叉熵?fù)p失(cross-entropyloss)，是在概率估計(jì)上定義的，用于測(cè)量預(yù)測(cè)類(lèi)別與真實(shí)類(lèi)別之間的差距大小。源代碼審計(jì)測(cè)試