软件应用程序安全开发指南(SDLC)(23)

如何使用安全模式超出了本文的范围，但是程序员应该在任何时候尽量使用这一功能。
3.7.3.警告参数
使用-w参数可以在Perl解释脚本时显示所有的警告信息。警告可以在以下情况产生：只使用了一次的变量或者完全没有使用过得变量，未定义的文
件句柄，未关闭的文件句柄，或者将非数值变量传递到数据变量。该功能不
是针对安全处理的，但是可以有助于调试直接或者间接对安全有危害的错误。一般推荐总是使用-w参数。可以在taint验证时在第一行这样使用-w参数：
#!usr/bin/perl5-Tw

4.应用系统测试安全

应用系统在正式上线前应对安全性进行测试，验证应用系统的安全性是否符合安全设计及安全需求，应用系统的安全测试包括以下内容：
4.1.测试前的要求
测试之前，首先要确定测试大纲，在测试大纲中应当明确应用安全方面的测试内容、手段及方案（即测试用例）。包括：
安全性测试的环境要求；
安全性测试软件、测试设备要求；
安全性测试人员要求；
安全性测试的时间要求；
安全性测试的内容；
安全性测试的输入数据；安全性测试的预期结果；
安全性测试的详细过程；
安全性测试的风险和风险规避方案。
测试大纲中安全性方面的描述是进行安全性测试的一个重要依据。大纲
内容的编写应当依据应用系统需求说明书及应用系统设计说明书中，有关安全方面的内容来编写相应的测试用例。
4.2.测试方法及内容要求
1、 应根据应用系统的具体情况，设计安全性测试的具体方法和内容，通常
主要的测试方法和内容分为功能性测试、压力测试、渗透性测试、审核性测试。
2、 功能性测试要求：对应用系统的安全功能点进行测试，确保安全功能的有效性、正确性。
· 这些功能点应全部包含在测试大纲中，在大纲的测试用例中体现具体的测试方法。测试大纲中的这些内容应当覆盖了需求说明书中安全功能部分的要求。
· 测试的具体内容主要涉及以下几个方面：
· 安全审计
· 通信安全
· 数据保护
· 身份认证
· 容错及资源分配方面的要求
3、 压力测试：对应用系统的安全功能进行压力测试，确保安全功能可以满足设计的需要。