国家标准GB/T34944-2017标准名为《Java语言源代码漏洞测试规范》。它是我国首个针对Java语言源代码安全检测的国家标准，于2017年11月1日发布，2018年5月1日正式实施。该标准包含九大漏洞类型，涵盖44类具体漏洞问题，适用于开发方和第三方机构开展静态分析、动态分析和混合分析等测试活动，它旨在确保软件的安全性，从而增强用户的信任。

一、源代码漏洞测试的目的

1、发现、定位及解决软件源代码中的漏洞；

2、为软件产品的安全性测量和评价提供依据。

二、测试依据

GB/T34944-2017《Java语言源代码漏洞测试规范》 

三、源代码漏洞测试内容

1、行为问题：由于应用程序的以外行为而引发的漏洞；

2、路径错误：不恰当的处理访问路径而引发的漏洞；

3、数据处理：处理数据的功能中发现的漏洞。

4、处理程序错误：由于处理程序的管理不当而引发的漏洞。

5、不充分的封装：未充分封装关键数据或功能而引发的漏洞。

6、安全功能：软件安全功能如身份鉴别、访问控制、机密性、密码学和特权管理等相关的漏洞。

7、时间和状态：在多系统、进程或线程并发计算的环境下由于时间和状态管理不恰当而引发的漏洞。

8、Web问题：Web技术相关的漏洞。

9、用户界面错误：与用户界面相关的漏洞。

四、源代码测试过程的四个阶段

测试策划、测试设计、测试执行、测试总结。

五、测试方法

该测试首先采用自动化静态分析工具对被测源代码进行漏洞扫描，然后人工分析自动化静态分析工具的扫描结果，筛出误报的源代码漏洞。

六、源代码漏洞测试工具

选择源代码漏洞测试工具应首先明确GB/T15532一2008中4.8.2的要求，重点应考虑工具的漏报率和误报率，可通过调查或比较的方式评估工具的漏报率和误报率。选择的源代码漏洞测试工具应覆盖但不限于本标准的源代码漏洞测试内容，测试前应对工具的漏洞规则库和测试引擎进行必要的升级和维护。

在数字化转型的浪潮中，软件已成为推动社会与企业发展的核心力量。然而，软件质量问题频发，故障、漏洞不断，给企业和用户带来了极大的困扰与损失。我方软件测评中心CNAS软件测试实验室通过专业的软件测试服务，为保障软件质量、助力企业发展保驾护航！若您正在寻找一家值得信赖的第三方软件测试服务提供商，不妨联系我们。

检测试验找彭工136-9109-3503。

*博客内容为网友个人发布，仅代表博主个人观点，如有侵权请联系工作人员删除。