軟體安全性是一個廣泛而複雜的主題,每一個新的軟體總可能有完全不符合所有已知模式的新型安全性缺陷出現,要避免因安全性缺陷問題受各種可能型別的攻擊是不切實際的,在軟體安全測試時,運用一組好的原則來避免不安全的軟體上市、避免不安全軟體受攻擊,就顯得十分重要。
1. 從總體看,(靜態的)程式碼分析工具和(動態的)滲透測試工具應用還是比較普遍,超過60%,而且滲透測試工具(73.68%)略顯優勢,高出10%;模糊測試工具,可能大家感覺陌生,低至16%,但它在安全性、可靠性測試中還是能發揮作用的;從理論上看,程式碼分析工具應該能達到95%以上,因為它易用,且安全性已經是許多公司的紅線,得到足夠重視;希望以後各個公司能夠加強程式碼分析工具和模糊測試工具的應用。
2. Java程式碼安全性分析工具前三名是:IBM AppScan Source Edition(42.11%)、Fotify Static Code Analyzer(36.84%)、Findbugs(26.32%)。
3.C/C++程式碼安全性分析工具前三名是:C++Test(38.89%)、IBM AppScan Source Edition(38.89%)、Fotify Static Code Analyzer(27.78%)、Visual Studio(27.78%);可能LDRA Testbed比較貴,關鍵的嵌入式軟體採用比較多,所以沒有進前三。
4. Java程式碼安全性分析工具應用最多的是Google"s Closure Compiler,其次是JSHint,也有的公司用Coverity來進行JS的程式碼分析。
5. Python程式碼安全性分析工具應用最多的是Pychecker,其次是PyCharm,而Pylint使用比較少,也有幾個公司用Coverity來進行Python的程式碼分析。
6. Web應用安全性測試的商用工具中,IBM AppScan異軍突起,高達70%的市場,其它商用工具無法與它抗衡,第2名SoapUI和它差距在50%以上,HP webInspect 不到10%。
7. Web應用安全性測試的開源工具中,Firebug明顯領先,將近50%,比第2名OWASP ZAP高12%,第三名是Firefox Web Developer Tools,超過了20%。
8.Android App的安全性測試工具中,Android Tamer領先,將近30%,比第2、3名AndroBugs、Mobisec、Santoku高15%左右。
9. 網路狀態監控與分析工具中,Wireshark遙遙領先,超過70%。其次就是Tcpdump、Burp Suite,佔30%左右;網路狀態監控與分析工具挺多的,但從這次調檢視,越來越集中到幾個工具中,特別是Wireshark功能強,覆蓋的協議比較多,深受歡迎。
10.SQL注入測試工具排在前三位的:SQLInjector、SQL Power Injector、OWASP SQLiX,三者比較接近,差距在6%左右。其它兩項工具Pangolin、SQLSqueal也佔了10%。
總結:
這些工具將安全測試員從手動稽核的工作中解放出來,它們也使稽核的過程變得更為快速有效;執行有力的安全測試評估並不意味著簡單地從列表中選擇一個工具,相反,它意味著評估組織結果,以及評估資訊、要求和所涉及的利益相關者,這個過程將有助於構建一個理想的策略,包括使用工具來有效和高效地識別和解決安全漏洞。
軟體安全性是一個廣泛而複雜的主題,每一個新的軟體總可能有完全不符合所有已知模式的新型安全性缺陷出現,要避免因安全性缺陷問題受各種可能型別的攻擊是不切實際的,在軟體安全測試時,運用一組好的原則來避免不安全的軟體上市、避免不安全軟體受攻擊,就顯得十分重要。
1. 從總體看,(靜態的)程式碼分析工具和(動態的)滲透測試工具應用還是比較普遍,超過60%,而且滲透測試工具(73.68%)略顯優勢,高出10%;模糊測試工具,可能大家感覺陌生,低至16%,但它在安全性、可靠性測試中還是能發揮作用的;從理論上看,程式碼分析工具應該能達到95%以上,因為它易用,且安全性已經是許多公司的紅線,得到足夠重視;希望以後各個公司能夠加強程式碼分析工具和模糊測試工具的應用。
2. Java程式碼安全性分析工具前三名是:IBM AppScan Source Edition(42.11%)、Fotify Static Code Analyzer(36.84%)、Findbugs(26.32%)。
3.C/C++程式碼安全性分析工具前三名是:C++Test(38.89%)、IBM AppScan Source Edition(38.89%)、Fotify Static Code Analyzer(27.78%)、Visual Studio(27.78%);可能LDRA Testbed比較貴,關鍵的嵌入式軟體採用比較多,所以沒有進前三。
4. Java程式碼安全性分析工具應用最多的是Google"s Closure Compiler,其次是JSHint,也有的公司用Coverity來進行JS的程式碼分析。
5. Python程式碼安全性分析工具應用最多的是Pychecker,其次是PyCharm,而Pylint使用比較少,也有幾個公司用Coverity來進行Python的程式碼分析。
6. Web應用安全性測試的商用工具中,IBM AppScan異軍突起,高達70%的市場,其它商用工具無法與它抗衡,第2名SoapUI和它差距在50%以上,HP webInspect 不到10%。
7. Web應用安全性測試的開源工具中,Firebug明顯領先,將近50%,比第2名OWASP ZAP高12%,第三名是Firefox Web Developer Tools,超過了20%。
8.Android App的安全性測試工具中,Android Tamer領先,將近30%,比第2、3名AndroBugs、Mobisec、Santoku高15%左右。
9. 網路狀態監控與分析工具中,Wireshark遙遙領先,超過70%。其次就是Tcpdump、Burp Suite,佔30%左右;網路狀態監控與分析工具挺多的,但從這次調檢視,越來越集中到幾個工具中,特別是Wireshark功能強,覆蓋的協議比較多,深受歡迎。
10.SQL注入測試工具排在前三位的:SQLInjector、SQL Power Injector、OWASP SQLiX,三者比較接近,差距在6%左右。其它兩項工具Pangolin、SQLSqueal也佔了10%。
總結:
這些工具將安全測試員從手動稽核的工作中解放出來,它們也使稽核的過程變得更為快速有效;執行有力的安全測試評估並不意味著簡單地從列表中選擇一個工具,相反,它意味著評估組織結果,以及評估資訊、要求和所涉及的利益相關者,這個過程將有助於構建一個理想的策略,包括使用工具來有效和高效地識別和解決安全漏洞。