軟件源代碼安全測試系統(tǒng)可行性分析報告

軟件源代碼安全測試系統(tǒng)可行性分析研究報告目錄TOC\o"1-5"\h\z一、項目的背景和必要性 1二、國內(nèi)外現(xiàn)狀和需求分析 2國內(nèi)外發(fā)展現(xiàn)狀 2需求分析 2三、項目實施內(nèi)容及方案 4總體思路 4 建設(shè)內(nèi)容 4 項目實施的組織管理 5 項目實施進(jìn)度計劃 7 TOC\o"1-5"\h\z四、實施項目所需條件及解決措施 8條件需要論述 8 承擔(dān)單位具備的條件及欠缺條件解決措施 8 五、投資估算，資金籌措 1...2...項目投資估算 12資金籌措 12六、經(jīng)濟、社會效益及學(xué)術(shù)價值分析 1..2..七、項目風(fēng)險性及不確定性分析 1...3..不確定性分析 13市場風(fēng)險分析 13技術(shù)風(fēng)險分析 13八、項目主要承擔(dān)人員概況 1..4...項目負(fù)責(zé)人情況 14主要承擔(dān)人員及責(zé)任分工 14、項目的背景和必要性隨著社會信息化的不斷加深，計算機軟件系統(tǒng)越來越復(fù)雜，程序的正確性也難以保證，計算機病毒和各種惡意程序有了賴以生存的環(huán)境。軟件功能越來越負(fù)載，源代碼越來越大，我們無法從編碼的角度徹底消除所有的漏洞或缺陷，相當(dāng)數(shù)量的安全問題是由于軟件自身的安全漏洞引起的。軟件開發(fā)過程中引入的大量缺陷，是產(chǎn)生軟件漏洞的重要原因之一。不同的軟件缺陷會產(chǎn)生不同的后果，必須區(qū)別對待各類缺陷，分析原因，研究其危害程度，預(yù)防方法等。我區(qū)的軟件業(yè)發(fā)展尚未成熟，軟件測試沒有得到足夠的重視，大多數(shù)軟件開發(fā)商更多注重的是軟件的功能，對于加強軟件的安全性投入不足，這更增加了軟件安全漏洞存在的可能性。系統(tǒng)攻擊者可以解除軟件安全漏洞輕易的繞過軟件安全認(rèn)證，對信息系統(tǒng)實施攻擊和入侵，獲取非法的系統(tǒng)用戶權(quán)限，執(zhí)行一系列非法操作和惡意攻擊。為了避免各種安全漏洞的出現(xiàn)，軟件測試越來越受到開發(fā)人員的重視。軟件測試不僅僅是為了找出軟件潛在的安全漏洞，通過分析安全漏洞產(chǎn)生的原因，可以幫助我們發(fā)現(xiàn)當(dāng)前軟件開發(fā)過程中的缺陷，以便及時修復(fù)。軟件測試可以提高源代碼的質(zhì)量，保證軟件的安全性。但是，軟件測試是一個非常復(fù)雜的執(zhí)行過程。測試人員需要根據(jù)已有的經(jīng)驗，不斷的輸入各種測試用例以測試。純?nèi)斯y試效率低，無法滿足信息產(chǎn)業(yè)發(fā)展的需要。我們需要高效的自動化測試源代碼安全測試系統(tǒng)。、國內(nèi)外現(xiàn)狀和需求分析2.1國內(nèi)外發(fā)展現(xiàn)狀目前，常用的漏洞檢測方法主要有：安全掃描技術(shù)、代碼審查、靜態(tài)分析、動態(tài)監(jiān)測等。代碼審查是人工閱讀代碼，檢查是否有源代碼級別的漏洞。代碼審查耗費人力物力，檢查速度緩慢，不適用于大型項目的檢測。動態(tài)監(jiān)測室在執(zhí)行程序的基礎(chǔ)上，動態(tài)監(jiān)測程序的執(zhí)行狀態(tài)，來檢查程序的正確性。靜態(tài)測試通過對待測源程序做詞法分析，語義分析等源程序信息來檢查待測程序。靜態(tài)測試在不執(zhí)行程序的情況下，分析程序路徑，有更高的覆蓋率和檢測速度，比動態(tài)監(jiān)測更有效，能快速的找到安全漏洞。靜態(tài)分析是靜態(tài)測試的基礎(chǔ)，國內(nèi)外在靜態(tài)分析方面做了大量的研究，取得一定的成果，并研發(fā)出相應(yīng)的靜態(tài)分析工具。目前較多使用的有 Soot靜態(tài)分析工具、PC-Lint靜態(tài)分析工具、logiscope軟件質(zhì)量分析測試工具、FortifySCA源代碼安全掃描、分析和風(fēng)險管理工具、FindBugs靜態(tài)分析工具等等，國內(nèi)外已經(jīng)對自動化測試工具做了很多研究，取得一定的成果。2.2需求分析隨著軟件事業(yè)的發(fā)展，人們逐漸的認(rèn)識到，想要開發(fā)出高質(zhì)量的軟件產(chǎn)品，必須對軟件的開發(fā)過程進(jìn)行改善。研究表明，相當(dāng)數(shù)量的安全問題是由于軟件自身的安全漏洞引起的。軟件開發(fā)過程中引入的大量缺陷，是產(chǎn)生軟件漏洞的重要原因之一。軟件源代碼安全性缺陷排除是軟件過程改進(jìn)的一項重要措施。隨著社會信息化的不斷加深，人們不得不開始面對日益突出的信息安全問題。不同的軟件缺陷會產(chǎn)生不同的后果，必須區(qū)別對待各類缺陷，分析原因，研究其危害程度，預(yù)防方法等。建立一個比較完整的缺陷分類信息，對預(yù)防和修復(fù)軟件安全缺陷具有指導(dǎo)作用。在中國的很多軟件企業(yè)存在著重開發(fā)、輕測試的現(xiàn)象，造成日后的軟件產(chǎn)品的質(zhì)量問題頻出。目前軟件測試人才的缺口在30萬人以上，IT行業(yè)國內(nèi)外巨頭正在加緊爭奪軟件測試人才，華為曾一次拋出50名軟件測試人員的招聘大單，而聯(lián)想、用友、瑞星等企業(yè)也紛紛打出高薪招聘軟件測試人才的啟事。由于國內(nèi)軟件測試工程師人才奇缺，并且一般只有大中型企業(yè)才會單獨設(shè)立軟件測試部門。第三方測試能夠擬補各方面軟件測試日益增長的需求，特別是源代碼安全測試，技術(shù)門檻高，軟硬件設(shè)備要求高，企業(yè)不愿意在這方面投入大量的人力和物力資源，使得軟件源代碼測試有強烈的市場需求。我區(qū)軟件產(chǎn)業(yè)起步較晚，目前仍處于襁褓期。至“十五”大以來 城市被批準(zhǔn)列入國家信息化試點城市。對于我區(qū)軟件產(chǎn)業(yè)的迅速發(fā)展，同時也對軟件產(chǎn)品質(zhì)量、安全有更高的要求，這就需要相關(guān)專業(yè)軟件方面的測試對軟件產(chǎn)品質(zhì)量、安全進(jìn)行保障。三、項目實施內(nèi)容及方案3.1總體思路軟件源代碼安全測試系統(tǒng)項目的總體目標(biāo)是通過該系統(tǒng)能夠?qū)?Java、JSP、JavaSript、VBSript、C#、ASPnet、VB.Net、VB6、 C/C++ 、ASP、PHP,Ruby、Android、APEX（AppExchangeplatform） 等主流編程語言的跨站腳本攻擊、SQL注入、Javascript劫持、日志偽造、緩沖區(qū)溢出等安全漏洞技術(shù)指標(biāo)測試，覆蓋所有代碼路徑和查找大部分的安全漏洞類型；建立軟件源代碼安全漏洞庫和安全漏洞解決方案庫。培養(yǎng)和鍛煉一批有技術(shù)能力的軟件源代碼安全測評人才隊伍，為自治區(qū)信息安全管理部門提供數(shù)據(jù)支撐和決策依據(jù)。3.2建設(shè)內(nèi)容（1）建立軟件源代碼安全測試系統(tǒng)平臺。配置主流軟件源代碼安全測試軟件，針對C、C++、Java、C#等主流編程語言提供跨站腳本、SQL注入、緩沖區(qū)溢出、參數(shù)篡改等漏洞進(jìn)行自動化測試。配置主流服務(wù)器，為測試平臺提供硬件支撐。配置軟件環(huán)境，windows、linux、unix、aix等操作系統(tǒng)、SQL數(shù)據(jù)庫、weblogic、websphere中間件。配置計算機、筆記本等硬件設(shè)施。（2）配備軟件源代碼安全漏洞檢測人員。由于軟件源代碼漏洞分析對人員的技術(shù)要求也比較高，測試人員需具有2-3年的編程經(jīng)驗，也需要具備信息安全方面的技術(shù)，才能對自動化工具檢測結(jié)果進(jìn)行審查，降低誤報率。項目需要引進(jìn)新的人才，同時做相應(yīng)的培訓(xùn)。培訓(xùn)內(nèi)容包括①軟件測試基礎(chǔ)：數(shù)據(jù)庫管理、編程技巧、操作系統(tǒng)、網(wǎng)絡(luò)安全；②軟件測試：測試基本理論、軟件缺陷、測試過程、需求管理、文檔編寫、典型軟件機制與缺陷模式、測試項目架構(gòu)與管理、回歸測試、測試報告；③測試工具軟件培訓(xùn)；④源代碼安全漏洞與分析。(3)建立軟件源代碼安全檢測實驗室。利用中心現(xiàn)有資源，建設(shè)計算機場地和實驗室。根據(jù)我中心質(zhì)量管理體系建立軟件源代碼安全檢測實驗室管理規(guī)范；制定測試流程、測試用例庫、作業(yè)指導(dǎo)書等技術(shù)規(guī)范。3.3項目實施的組織管理成立項目實施組，確定項目總負(fù)責(zé)人項目開始前，成立項目實施小組管理項目開發(fā)實施，確定項目總負(fù)責(zé)人負(fù)完全責(zé)任。項目范圍的管理包括下述內(nèi)容：項目業(yè)務(wù)范圍在項目每一階段的前期，由業(yè)務(wù)部門與實施項目小組人員共同對業(yè)務(wù)需求做詳細(xì)的調(diào)研和歸納總結(jié)。項目實施工作針對調(diào)研的結(jié)果，進(jìn)行項目開發(fā)實施。項目文檔管理詳細(xì)記錄項目的全過程，整理并最終提供所有技術(shù)和項目實施資料。項目實施組的組成及分工整個項目的實施由項目總負(fù)責(zé)人領(lǐng)導(dǎo)下的項目實施組完成。根據(jù)項目的具體要求，實施組又分為項目開發(fā)與實施、測試、培訓(xùn)與文檔等幾個小組。項目工程師：了解項目需求，提供技術(shù)方案；配合項目總負(fù)責(zé)人明確項目的實施內(nèi)容；協(xié)助項目總負(fù)責(zé)人解決、解答有關(guān)項目合同中的技術(shù)問題。項目開發(fā)與實施組：接受項目總負(fù)責(zé)人分配的任務(wù)，了解項目的需求，了解項目實施的內(nèi)容;按項目計劃要求具體實施項目；按時保質(zhì)項目現(xiàn)場實施工作；在項目現(xiàn)場提供必要的現(xiàn)場操作說明；將項目中出現(xiàn)的問題及時反映項目總負(fù)責(zé)人；及時記錄現(xiàn)場操作內(nèi)容，形成必要的項目實施文檔。測試組：在質(zhì)量控制小組和技術(shù)專家組的指導(dǎo)下完成項目測試文檔；測試手段的準(zhǔn)備，對項目內(nèi)容進(jìn)行系統(tǒng)測試；及時將所發(fā)現(xiàn)的問題向質(zhì)量控制小組和有關(guān)的部門通報。培訓(xùn)組：負(fù)責(zé)完成項目的培訓(xùn)工作；完成相關(guān)培訓(xùn)文檔。技術(shù)文檔組：負(fù)責(zé)檢查整個分析和設(shè)計文檔的風(fēng)格一致性、完整性；完成整個系統(tǒng)開發(fā)過程中，各階段文檔的修訂，管理及打字工作；由專人負(fù)責(zé)技術(shù)資料的歸

檔和分類管理。3.4項目實施進(jìn)度計劃序號時間安排內(nèi)容摘要1201x年9月至2016年11月可行性報告、實施方案設(shè)計、專家評審等。2201x年12月至2017年4月完成實驗室軟硬件、辦公設(shè)備米購以及所需辦公場所、機房的調(diào)整。管理隊伍建設(shè)，運行相關(guān)制度、規(guī)章的編制等。3201x年5月系統(tǒng)安裝調(diào)試。4201x年6月人員培訓(xùn)。5201x年9月組織驗收、系統(tǒng)試運行。6201x年10月正式運作，投入使用。四、實施項目所需條件及解決措施4.1條件需要論述依據(jù)本項目的實際情況，本項目實施所需條件如下：人力資源要求擁有足夠的專業(yè)從事源代碼測試、實驗、測試的工作人員，并按相應(yīng)的要求進(jìn)行配備、管理。場地具有符合要求的實驗、測試及辦公場所。儀器設(shè)備、軟硬件環(huán)境基礎(chǔ)平臺：含機柜、交換機、路由器、 PC機、服務(wù)器等硬件設(shè)施；含操作系統(tǒng)、數(shù)據(jù)庫、源代碼安全掃描軟件等軟件設(shè)施；通過軟件和硬件的結(jié)合，構(gòu)建一套基礎(chǔ)平臺，滿足網(wǎng)絡(luò)通訊、終端操作、業(yè)務(wù)承載等基礎(chǔ)功能。安全設(shè)施：提供基本的安全功能，如：接入控制；訪問控制；數(shù)據(jù)加密；入侵檢測；漏洞檢查；漏洞驗證；攻擊防護(hù)；安全審計等設(shè)備。使用者可以通過在基礎(chǔ)平臺上使用這些安全設(shè)施進(jìn)行安全研究、攻擊演示和系統(tǒng)測評等工作。管理設(shè)施：提供設(shè)備統(tǒng)一管理，日志收集分析，安全數(shù)據(jù)分析等管理類功能，可以對安全實驗室的資源進(jìn)行統(tǒng)一整合的管理支持。4.2承擔(dān)單位具備的條件及欠缺條件解決措施軟件源代碼安全測試系統(tǒng)搭建工作由XXXXXXX承擔(dān)，該所實施此項目已具備一定的基礎(chǔ)人力資源XXXXXXX成立XX多年來，培養(yǎng)了一批專門從事信息安全、電子信息應(yīng)用和推廣方面的專業(yè)技術(shù)人員，專業(yè)技術(shù)人員大部分是計算機、信息安全、通信、電子、電子商務(wù)等或相近相關(guān)專業(yè)；長期以來從事信息安全、電子信息工程技術(shù)，電子信息科技管理，電子信息經(jīng)濟管理等方面的工作，相關(guān)經(jīng)驗比較豐富，能承擔(dān)此項目的各項工作。場地XXXXXXX自有辦公樓一棟，使用面積約平方米，有充足的符合要求的場地來建設(shè)軟件源代碼安全測試系統(tǒng)。儀器設(shè)備、軟硬件環(huán)境?XXXXXXX有良好的網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺，Internet接入系統(tǒng)；?XXXXXXX各類檢測、試驗儀器設(shè)備及標(biāo)準(zhǔn)計量器具等600多臺(套)，有部分儀器設(shè)備(防火墻、入侵檢測、入侵防御、服務(wù)器等)可用于搭建軟件源代碼安全測試系統(tǒng)；?XXXXXXX原有實驗室的儀器設(shè)備、軟硬件環(huán)境是建設(shè)軟件源代碼安全測試系統(tǒng)的基礎(chǔ)。相關(guān)技術(shù)基礎(chǔ)XXXXXXX具備信息安全測評、信息系統(tǒng)測評、專業(yè)智能化系統(tǒng)測評的能力，在信息安全測評相關(guān)方面積累了豐富的實踐經(jīng)驗。

目前，XXXXXXX為項目的實施打下了良好的基礎(chǔ)，并為實施項目購置好了下表中的部分軟硬件設(shè)備，表中軟硬件設(shè)備購置完備后將可以建設(shè)軟件源代碼安全測試系統(tǒng)總投資：設(shè)備投入資金：名稱數(shù)量合計（萬元）測試工具1套工具更新服務(wù)1套服務(wù)器1臺測試筆記本2系統(tǒng)集成及運維資金：5萬名稱數(shù)量合計（萬元）測試環(huán)境集成1支持環(huán)境集成1培訓(xùn)資金：4萬名稱數(shù)量合計（萬元）產(chǎn)品培訓(xùn)/軟件測試知識及技能培訓(xùn)/其它：1萬名稱數(shù)量合計（萬元）儀器設(shè)備計量檢定校準(zhǔn)費用/專家評審費/項目總投資萬元，申請納入預(yù)算管理的非稅收入撥款萬元五、投資估算，資金籌措5.1項目投資估算項目投資估算表序號項目名稱投資預(yù)算（萬元）備注1設(shè)備投入資金/2系統(tǒng)集成及運維資金/3培訓(xùn)資金/4其他費用/合計/5.2資金籌措總投資0萬元，申請納入預(yù)算管理的非稅收入撥款0萬元，用于設(shè)備采購、系統(tǒng)集成、人員培訓(xùn)、組織專家論證等支出。六、經(jīng)濟、社會效益及學(xué)術(shù)價值分析軟件源代碼安全測試系統(tǒng)實施及工作的開展，可以加強對我區(qū)軟件產(chǎn)品質(zhì)量監(jiān)督檢驗力度，充實軟件產(chǎn)品安全檢測能力，保證軟件產(chǎn)品及系統(tǒng)運行安全；推動我區(qū)軟件產(chǎn)業(yè)發(fā)展，為提高我區(qū)軟件產(chǎn)業(yè)技術(shù)、質(zhì)量提供更有力的保障；完善我區(qū)軟件行業(yè)檢測體制，為公眾提供有效便捷的本地服務(wù)，提供更完善的信息系統(tǒng)安全檢測服務(wù)。軟件源代碼安全測試系統(tǒng)的建設(shè)具有良好的社會經(jīng)濟效益和較高的學(xué)術(shù)價值。七、項目風(fēng)險性及不確定性分析不確定性分析該項目的實施前期對人力資源的需求較高，需要有相關(guān)經(jīng)驗的高級人才，因此需要資金投入對于人才的培訓(xùn)、學(xué)習(xí)，同時也需要資金購入關(guān)鍵設(shè)備作為軟件源代碼測試支撐，如果資金無法保證，將會給項目帶來很大的困難，這也是目前系統(tǒng)所存在的較大風(fēng)險。軟件產(chǎn)業(yè)是當(dāng)前國家和自治區(qū)重點扶持的行業(yè)，國家與我區(qū)的投入都在逐漸增加，但也存在著產(chǎn)業(yè)政策調(diào)整的可能性，同時，國家其它相關(guān)法律、法規(guī)的頒布與修訂以及產(chǎn)業(yè)政策、稅收政策等方面的調(diào)整都可能會給該平臺的研發(fā)帶來不確定的風(fēng)險。市場風(fēng)險分析黨的十六大提出了“以信息化帶動工業(yè)化，以工業(yè)化促進(jìn)信息化”的戰(zhàn)略舉措，這為今后軟件業(yè)的發(fā)展提供了廣闊的舞臺，給軟件產(chǎn)業(yè)提供了新的發(fā)展機遇