A. 最受歡迎的軟體安全性測試工具有哪些
之前在做 國內軟體測試現狀調查 之時,因為安全性測試工具太多,結果顯示其分布比較廣,填寫「其它」占的比重很高(66%),為此專門做了一個調查 ,雖然收集的有效反饋不多(不到100),但基本反映了測試工具的使用現狀。
1. 從總體看,(靜態的)代碼分析工具和(動態的)滲透測試工具應用還是比較普遍 ,超過60%,而且滲透測試工具(73.68%)略顯優勢,高出10%。模糊測試工具,可能大家感覺陌生,低至16%,但它在安全性、可靠性測試中還是能發揮作用的。從理論上看,代碼分析工具應該能達到95%以上,因為它易用,且安全性已經是許多公司的紅線,得到足夠重視。 希望以後各個公司能夠加強代碼分析工具和模糊測試工具的應用。
2. Java代碼安全性分析工具前三名是 : IBM AppScan Source Edition(42.11%)、Fotify Static Code Analyzer(36.84%)、Findbugs(26.32%) ,而JTest、PMD等沒進入前三名,雖然和第3名差距不大,只有5%左右。也有公司使用Checkmarx,不在此調查中。Coverity也支持Java,可能Java的開源工具較多,人們很少用它。
3. C/C++代碼安全性分析工具前三名是 : C++Test(38.89%)、IBM AppScan Source Edition(38.89%)、Fotify Static Code Analyzer(27.78%)、Visual Studio(27.78%) 。Coverity、CppCheck、LDRA Testbed 沒能進入前三名,可能LDRA Testbed比較貴,關鍵的嵌入式軟體採用比較多,而Coverity Cloud針對Github等上面的代碼有免費服務(https://scan.coverity.com/projects/cloud-dirigible),大家可以嘗試應用。
4. JavaScript代碼安全性分析工具應用最多的是 Google's Closure Compiler,其次是JSHint,也有的公司用Coverity來進行JS的代碼分析。
5. Python代碼安全性分析工具應用最多的是Pychecker ,其次是PyCharm,而Pylint使用比較少,也有幾個公司用Coverity來進行Python的代碼分析。
6. Web應用安全性測試的商用工具中,IBM AppScan異軍突起 ,高達70%的市場,其它商用工具無法與它抗衡,第2名SoapUI和它差距在50%以上,HP webInspect 不到10%。
7. Web應用安全性測試的開源工具中,Firebug明顯領先 ,將近50%,比第2名OWASP ZAP高12%,第三名是Firefox Web Developer Tools,超過了20%。
8. Android App的安全性測試工具中,Android Tamer領先 ,將近30%,比第2、3名AndroBugs、Mobisec、Santoku高15%左右。也有用其它不在調查項中的工具,總體看,Android App安全性測試工具分布比較散。
9. 網路狀態監控與分析工具中,Wireshark遙遙領先,超過70%。 其次就是Tcpmp、Burp Suite,佔30%左右。網路狀態監控與分析工具挺多的,但從這次調查看,越來越集中到幾個工具中,特別是Wireshark功能強,覆蓋的協議比較多,深受歡迎。
10. SQL注入測試工具排在前三位的:SQLInjector、SQL Power Injector、OWASP SQLiX, 三者比較接近,差距在6%左右。其它兩項工具Pangolin、SQLSqueal也佔了10%,而Antonio Parata、Blind SQL Injections、Bsqlbf-v2、Multiple DBMS Sql Injection、Sqlninja幾乎沒什麼人用。
安全性測試工具很多,還包括黑客常用的一些工具,如暴力破解口令工具、埠掃描工具、防火牆滲透工具、滲透測試平台等。從某種意義看,它們超出軟體范疇,更多屬於網路空間安全、密碼學等范疇,在此就不展開了。概括起來最受歡迎的軟體安全性測試工具有:
B. 物聯網步步逼近,軟體測試問題如何解決
軟體已經是企業在競爭中脫穎而出的利器。而隨著物聯網時代的步步逼近,設備也很少單獨運行,越來越多的則是參與到M2M式的交互合作當中。多核、多操作系統、64位,這都是當今最熱門的技術,而hypervisor(管理程序)在其中起到關鍵性作用。不僅軟體環境如此復雜,產品上市速度的壓力也更加嚴峻。特別是消費電子產品,其生命周期有的時候竟短於6個月。因此,傳統的人工軟體測試方法已經無法趕上其速度,自動化測試成為必然的選擇。
作為Intel公司的全資子公司,風河正在把設備軟體質量推向新的水平,幫助嵌入式軟體開發團隊提升安全可靠性和上市速度,滿足不斷攀升的代碼量和復雜度需求。風河的核心觀念是,保證軟體質量免於風險就是保護企業的品牌,為此企業必須擁有商業級的解決方案。風河的設備軟體測試解決方案就是以商業級的保證為目標,為企業提供有保障的確定性。
風河設備軟體測試解決方案
風河的設備軟體測試解決方案提供有,虛擬實驗室管理(VLM)和虛擬設備。這套測試工具首先是可以幫助軟體團隊節省時間,因為不再需要把時間浪費在等待實驗室和待測設備上面,從而可以把所有的時間都充分利用起來進行代碼測試工作上。要知道,在設備和軟體與日俱增的環境中,時間是金錢無法換得的。
風河公司的設備軟體測試解決方案由以下部分組成(圖2):
圖2:風河設備軟體測試解決方案。
風河測試管理:一個自動化測試框架,提供運行時白箱可視化能力,讓測試者完全了解待測軟體所發生的一切。這套綜合性測試自動化系統包括了監控、執行和管理功能,特別是可以進行虛擬實驗室的設置和管理(VLM),以及真實設備和虛擬設備的測試管理。
風河自動軟體測試框架(FAST,Android自動化軟體測試框架):一個為Android設備提供的自動化軟體測試解決方案,已經內置了26000項測試。這個測試解決方案極為順暢地實現了軟體測試的自動化,縮短了Android設備測試的時間。其不僅降低了測試成本,提高了軟體質量和穩定性,而且可以驗證其是否符合Android兼容性測試套件(CTS)。
風河用戶體驗測試開發包(UXTDK):一個測試腳本編寫解決方案,可以快速創建自動化測試腳本,用於Android設備、應用以及基於瀏覽器的Web內容。這個解決方案的設計目標是重現人工操作設備時與設備之間的所有互動,從而驗證設備的用戶體驗。與傳統的記錄/重放式測試工具相比,UXTDK採用可編程的方法來創建測試情景,從而更加易於保證測試的完備性。由UXTDK編寫的測試腳本可以通過風河FAST或者風河測試管理框架來進行管理。
風河虛擬化模擬器(Simics):一個全系統模擬器,讓軟體開發和質量管理更加易於進行。這個模擬器可以實現全部調試功能(例如反向執行和執行現場編輯),從而很容易進行故障植入。有了這個模擬器,所有的軟體開發和測試都可以完全不依賴於硬體,從而在根本上改變了產品開發的時間順序開發和測試工作可以先於硬體的開發和采購。這樣一來,不僅節省了時間,而且極大地降低了成本和風險。
除了上述完整的產品組合,風河還跟傳統的IT應用提供商建立合作夥伴關系,實現了企業IT應用與設備軟體的融合。風河是HP公司的銀牌合作夥伴,也是HP企業管理協會成員。其測試產品可與HP質量中心(QC)集成。同時,風河的測試產品已經獲得IBM公司的Ready for Rational認證。而且,IBM Rational也是風河的戰略合作夥伴。
Voke分析師指出:產品上市時程持續被壓縮,使開發團隊不斷面臨龐大壓力,安全問題也因而常被忽略。風河和Coverity雙方技術的整合改變了測試市場生態,使嵌入式開發團隊能在最早階段就專注於安全問題的解決,同時也兼顧了品質的確保,並有效降低因產品出錯而導致品牌形象受損之風險。另外,也可避免因產品出現未知的安全漏洞而損及公司整體營收。
作為軟體測試市場的變革型提供商,風河正在改變測試人員對於未來前景的看法。風河深知,軟體是設備競爭力的推進劑。設備測試團隊必須使用商業級的解決方案,以自動化、可重復使用的測試技術來武裝自己,才能在未來的設備生命周期中佔有自己的一席之地。