准备资料CCRC认证-软件安全开发一级二级

时间:来源:未知 作者:admin 点击:191

 

 

软件安全开发项目大致需要的材料:
安全开发(一级二级)资料:
(1)软件开发团队(姓名、职务、职责);
(2)软件开发计划;
(3)软件配置管理计划;
(4)使用的配置管理工具及使用情况介绍;
(5)开发环境、测试环境、运行环境配置说明文档;
(6)软硬件设备及工具安全使用规范、软硬件设备及工具资源配备计划;
(7)需求分析报告/需求规格说明书(需包含基于软件安全威胁开展需求分析、基于软件项目需求分析建立软件安全开发模型);
(8)概要设计说明书(需明确抗抵赖、安全标记、可信路径等安全功能要求)、软件详细设计说明书(需包含基于软件安全需求分析进行详细设计的内容)、数据库设计说明书;
(9)采用自动化工具对代码安全漏洞进行审查的记录/报告;
(10)系统测试方案/测试计划、系统测试用例、系统测试报告、系统测试BUG统计;
(11)单元测试方案/计划、单元测试用例、单元测试报告;
(12)集成测试方案/计划、集成测试用例、集成测试报告;
(13)安全性测试方案/计划、安全性测试用例、安全性测试报告;
(14)脆弱性测试方案/计划、脆弱性测试报告;
(15)渗透性测试方案、渗透测试记录、渗透测试报告;
(16)系统运行策略、安全指南;
(17)专家或第三方权威机构出具的软件产品安全测评报告或安全认证证书;
(18)软件健康检查计划/方案、健康检查记录、健康检查报告、系统优化改进记录;
(19)验收申请、验收报告。

 
安全测试就是比如我们的身份认证(登录)、输入验证、权限、敏感数据(比如在传递过程中有无加密、存储有无加密)、Session管理(测试是否限制会话生存期)、若使用 了加密(测试秘钥的安全性,容不容易被别人所获取)、参数(测试所有的输入参数、敏感数据)、注册与登录、Session超时、备份与恢复、传输安全测试等