軟件安全性淺析[3]

　　軟件安全性淺析[3]   軟件測試

　　b) 當要求重新分配存儲器的調用時應予以檢查，以確保不僅釋放指針而且釋放該結構所用的存儲器。

　　c) 運算符優先級的規則，一些語言的要求并不是那么嚴格，容易是程序員發生誤解。

　　如果某種語言有精確的定義(也有完備的功能性)，從邏輯上說是清晰的，有易管理的規模和復雜度，那么就認為這個語言適用于安全相關性軟件。使用編程語言時，也應該針對該語言的特點，努力滿足安全性要求。

　　如果一種編程經驗或編程風格因為能夠提高軟件安全性而被公認為專用性編碼標準，可以選擇這樣一種編碼標準來約束對不安全語言的使用。編碼標準對程序員的編程修養和對語言正確使用是有指導意義的。MISRA協會在1994年發布了它的軟件開發指南，在其中特別指出了為考慮安全集成度而做出的語言、編譯器和語言特性的選擇。MISRA要求使用“標準化結構化語言的受限子集”，其對語言檢查的嚴格性已經使該規范應用在一些安全要求很高的系統相關代碼上。

　　4. 軟件詳細設計安全性分析——設計實現是否符合安全性要求

　　軟件詳細設計進一步細化高層的體系結構設計，將軟件結構中的主要部件劃分為能獨立編碼、編譯和測試的軟件單元，并進行軟件單元的設計。

　　在這一階段中，需要依據軟件需求、結構設計描述、軟件集成測試計劃和之前所獲得的軟件安全性分析的結果，對軟件的設計和實現階段是否符合軟件安全性需求進行驗證。

　　相關軟件單元應進一步細化設計以便于編碼。所以，我們應該分析：

　　a) 軟件詳細設計是否能追溯到軟件需求;

　　b) 軟件詳細設計是否已覆蓋了軟件安全性需求;

　　c) 軟件詳細設計是否與軟件結構設計保持了外部一致性;

　　d) 軟件詳細設計是否滿足模塊化、可驗性、易安全修改的要求。

　　軟件詳細設計是直接關系到編碼的關鍵一環，軟件詳細設計安全性分析更相關整個軟件的安全性。所幸的是，眾多前輩們總結了許多可以提高軟件安全性的手段和技術，這些經驗經過長期驗證，多數已經成為標準的參考：

　　設計邏輯分析：

　　評價軟件設計的方程式、算法和邏輯，可以包括失效檢測/診斷、冗余管理、變量報警和禁止命名邏輯的檢測。

原文轉自：http://www.anti-gravitydesign.com