NIST 安全软件开发框架 1.1

确定是否应执行可执行代码测试，以发现以前的审查、分析或测试未识别的漏洞，如果需要，应使用哪种类型的测试。示例：示例 1：遵循组织的政策或指南，确定何时应进行代码测试以及如何进行测试（例如，在沙箱环境中）。这可能包括第三方可执行代码以及内部开发的可重用可执行代码模块。示例 2：根据软件的阶段选择测试方法。参考文献：BSAFSS: TV.3 BSIMM: PT2.3 EO14028: 4e(ix) IEC62443: SVV-1, SVV-2, SVV-3, SVV-4, SVV-5 NISTLABEL: 2.2.2.2 SCSIC: 同行评审和安全测试 SP80053: SA-11 SP800161: SA-11 SP800181: SP-DEV-001, SP-DEV-002;T0456;K0013, K0039, K0070, K0153, K0165, K0342, K0367, K0536, K0624;S0001, S0015, S0026, S0061, S0083, S0112, S0135

确定测试范围，设计测试，执行测试，并记录结果，包括在开发团队的工作流程或问题跟踪系统中记录和分类所有发现的问题及推荐的修复措施。示例：示例 1：对安全功能进行全面的功能测试。示例 2：将动态漏洞测试集成到项目的自动化测试套件中。示例3：将先前报告的漏洞测试纳入项目测试套件，以确保错误不会被重新引入。示例4：在制定测试计划时，考虑软件在生产环境中使用的基础设施和技术栈。示例5：使用模糊测试工具查找输入处理问题。示例6：如果有资源可用，使用渗透测试来模拟攻击者在高风险场景中可能尝试破坏软件的方式。示例7：识别并记录发现问题的根本原因。示例8：将代码测试中学到的经验记录在开发人员可以访问和搜索的维基中。示例9：在制定测试计划时使用源代码、设计记录及其他资源。参考资料：BSAFSS：TV.3, TV.5, PD.1-4 BSIMM：ST1.1, ST1.3, ST1.4, ST2.4, ST2.5, ST2.6, ST3.3, ST3.4, ST3.5, ST3.6, PT1.1, PT1.2, PT1.3, PT3.1 EO14028：4e(iv), 4e(v), 4e(ix) IDASOAR：7, 8, 10, 11, 38, 39, 43, 44, 48, 55, 56, 57 IEC62443：SM-5, SM-13, SI-1, SVV-1, SVV-2, SVV-3, SVV-4, SVV-5 IR8397：2.6, 2.7, 2.8, 2.9, 2.10, 2.11 ISO27034：7.3.6 MSSDL：10, 11 NISTLABEL：2.2.2.2 OWASPMASVS：7.5 OWASPSAMM：ST1-A、ST1-B、ST2-A、ST2-B、ST3-A PCISSLC：4.1 SCAGILE：操作安全任务10、11；需要安全专家协助的任务 4, 5, 6, 7 SCFPSSD：执行动态分析安全测试、模糊解析器测试、网络漏洞扫描、执行安全功能/缓解措施的自动化功能测试、执行渗透测试 SCSIC：同行评审和安全测试 SP80053：SA-11，SA-11(5)，SA-11(8)，SA-15(7) SP800161：SA-11，SA-11(5)，SA-11(8)，SA-15(7) SP800181：SP-DEV-001，SP-DEV-002；T0013, T0028, T0169, T0176, T0253, T0266, T0456, T0516;K0009, K0039, K0070, K0272, K0339, K0342, K0362, K0536, K0624;S0001, S0015, S0046, S0051, S0078, S0081, S0083, S0135, S0137, S0167, S0242;A0015