【檢測內(nèi)容介紹】

C語言是一種面向過程的程序設計語言，廣泛應用于系統(tǒng)軟件與嵌人式軟件的開發(fā)。本標準的C語言語法遵循ISO/IEC9899:2011。C++語言是一種面向?qū)ο蟮某绦蛟O計語言，它在C語言的基礎上發(fā)展而來，與C語言具有許多相同的語法，廣泛應用于系統(tǒng)軟件與應用軟件的開發(fā)。本標準的C++語言語法遵循ISO/IEC14882:2011語法標準。眾所周知，由于各種人為因素影響，每個軟件的源代碼都難免會存在漏洞，而軟件信息泄露、數(shù)據(jù)或代碼被惡意篡改等安全事件的發(fā)生一般都與源代碼漏洞有關。為盡量減少C/C++語言源代碼中存在的漏洞，有必要制定針對C/C++語言程序的源代碼漏洞測試規(guī)范。
一、GB/T 34943-2017 標準定義了8大類32種C/C++源代碼漏洞。以下是工具針對關鍵漏洞的檢測重點：
1、內(nèi)存安全漏洞（如緩沖區(qū)溢出）: 這是C/C++程序中最危險的漏洞類型。Fortify 和 Coverity 通過數(shù)據(jù)流分析跟蹤緩沖區(qū)操作，能有效發(fā)現(xiàn)數(shù)組越界、不安全的字符串操作等問題。庫博SAST 也強調(diào)其能進行路徑敏感和上下文敏感的分析，以檢測此類深層缺陷。 
2、API誤用: 標準中"錯誤的API協(xié)議實現(xiàn)"指未按預期方式使用API。Checkmarx 通過其CxQL語言可以定義復雜的API調(diào)用規(guī)則，檢測是否使用了危險的函數(shù)（如C語言中的 scanf）而未對輸入進行長度檢查。 
3、安全功能缺陷（如密碼學應用）: 標準明確禁止明文存儲口令、使用已破解的加密算法等。這幾款工具都能檢測到代碼中是否使用了不安全的隨機數(shù)生成器、弱哈希算法（如MD5）或危險的加密模式。
 4、路徑遍歷與注入類漏洞: 庫博SAST 和 Fortify 均宣稱支持OWASP TOP 10漏洞，包括SQL注入、命令注入、路徑遍歷等。它們通過污點跟蹤技術，標記用戶輸入等不可信數(shù)據(jù)源，并跟蹤其在整個程序中的傳播，直到危險的"匯"點（如執(zhí)行系統(tǒng)調(diào)用的函數(shù)）。 
二、測試的目的：
1、統(tǒng)一C/C++安全測試方法：為基于C/C++開發(fā)的系統(tǒng)軟件、嵌入式軟件、通信設備、工業(yè)控制軟件、安全關鍵系統(tǒng)（如汽車、醫(yī)療、軌道交通）等提供標準化的源代碼漏洞檢測流程和判定準則。
2、識別C/C++特有安全風險：針對C/C++語言缺乏內(nèi)存安全機制、指針任意操作、緩沖區(qū)邊界不可靠、類型轉(zhuǎn)換松散等語言特性帶來的典型漏洞，進行系統(tǒng)性檢測。
3、支撐關鍵領域安全合規(guī)：滿足等級保護、關鍵信息基礎設施安全保護、網(wǎng)絡安全審查等對軟件供應鏈安全、自主可控產(chǎn)品的源代碼安全審計要求。
4、提升基礎軟件安全水位：廣泛應用于操作系統(tǒng)、數(shù)據(jù)庫、中間件、驅(qū)動軟件、通信協(xié)議棧等高可信軟件的開發(fā)與評估。
三、測試項目內(nèi)容：
行為問題；路徑錯誤、數(shù)據(jù)處理、錯誤的API協(xié)議實現(xiàn)、劣質(zhì)代碼、不充分的封裝、安全功能、Web問題等。
四、檢測方法與流程：
1、靜態(tài)分析：通過詞法分析、語法分析、數(shù)據(jù)流分析、控制流分析、符號執(zhí)行、污點分析等技術，在不運行代碼的情況下發(fā)現(xiàn)潛在漏洞。
2、動態(tài)分析：在受控環(huán)境中編譯運行被測程序，構(gòu)造模糊測試輸入或插樁跟蹤，驗證漏洞的可達性和可利用性。
五、制定CNAS能力驗證計劃需以標準合規(guī)性為核心，結(jié)合自動化工具與人工分析，覆蓋漏洞全生命周期。重點包括： 
1、依據(jù)GB/T 34943設計測試用例，確保漏洞分類完整。 
2、通過Fortify、Checkmarx等工具實現(xiàn)高效檢測。 
3、嚴格遵循CNAS-RL02要求，保障結(jié)果可追溯性與整改有效性。 
本測評中心擁有固定的測試實驗室，完備的設備設施及測試工具，并具有一支具有多年軟件測試工作經(jīng)驗的專業(yè)技術團隊。我方實驗室已完成專項領域數(shù)百個軟件測評任務，累計發(fā)現(xiàn)軟件重大問題1000余個，涵蓋應用軟件、嵌入式軟件等多種軟件類別，涉及工業(yè)操作系統(tǒng)、醫(yī)療、電工電子、電力、軌道交通等多個應用領域。在客戶服務方面，配備專業(yè)客戶服務團隊，可提供7×24小時快速響應服務，及時解決客戶在測試過程中遇到的各類問題。測試團隊專業(yè)能力扎實、服務態(tài)度規(guī)范、問題定位精準，能夠提供全方位測試解決方案，是值得信賴的合作伙伴。
檢測試驗找彭工136-9109-3503。

更新時間：2026/2/27 16:33:15