【檢測內容介紹】

國家標準GB/T34944-2017標準名為《Java語言源代碼漏洞測試規范》。它是我國首個針對Java語言源代碼安全檢測的國家標準，于2017年11月1日發布，2018年5月1日正式實施。該標準包含九大漏洞類型，涵蓋44類具體漏洞問題，適用于開發方和第三方機構開展靜態分析、動態分析和混合分析等測試活動，它旨在確保軟件的安全性，從而增強用戶的信任。

一、源代碼漏洞測試的目的

1、發現、定位及解決軟件源代碼中的漏洞；

2、為軟件產品的安全性測量和評價提供依據。

二、測試依據

GB/T34944-2017《Java語言源代碼漏洞測試規范》 

三、源代碼漏洞測試內容

1、行為問題：由于應用程序的以外行為而引發的漏洞；

2、路徑錯誤：不恰當的處理訪問路徑而引發的漏洞；

3、數據處理：處理數據的功能中發現的漏洞。

4、處理程序錯誤：由于處理程序的管理不當而引發的漏洞。

5、不充分的封裝：未充分封裝關鍵數據或功能而引發的漏洞。

6、安全功能：軟件安全功能如身份鑒別、訪問控制、機密性、密碼學和特權管理等相關的漏洞。

7、時間和狀態：在多系統、進程或線程并發計算的環境下由于時間和狀態管理不恰當而引發的漏洞。

8、Web問題：Web技術相關的漏洞。

9、用戶界面錯誤：與用戶界面相關的漏洞。

四、源代碼測試過程的四個階段

測試策劃、測試設計、測試執行、測試總結。

五、測試方法

該測試首先采用自動化靜態分析工具對被測源代碼進行漏洞掃描，然后人工分析自動化靜態分析工具的掃描結果，篩出誤報的源代碼漏洞。

六、源代碼漏洞測試工具

選擇源代碼漏洞測試工具應首先明確GB/T15532一2008中4.8.2的要求，重點應考慮工具的漏報率和誤報率，可通過調查或比較的方式評估工具的漏報率和誤報率。選擇的源代碼漏洞測試工具應覆蓋但不限于本標準的源代碼漏洞測試內容，測試前應對工具的漏洞規則庫和測試引擎進行必要的升級和維護。

在數字化轉型的浪潮中，軟件已成為推動社會與企業發展的核心力量。然而，軟件質量問題頻發，故障、漏洞不斷，給企業和用戶帶來了極大的困擾與損失。我方軟件測評中心CNAS軟件測試實驗室通過專業的軟件測試服務，為保障軟件質量、助力企業發展保駕護航！若您正在尋找一家值得信賴的第三方軟件測試服務提供商，不妨聯系我們。

檢測試驗找彭工136-9109-3503。

更新時間：2026/2/27 16:37:48