DB44-T 1557-2015 移动智能终端软件安全性测试规范

36备案号：47088-2015

DB44

移动智能终端软件安全性测试规范2015-03-26

广东省质量技术监督局

发布DB44/T

目 次前言…………………………I引言…………………………II

范围…………………………1

规范性引用文件……………1

术语和定义…………………1

总则…………………………2

文档审查……………………7

源代码测试…………………9

可执行代码测试……………11附录

代码安全缺陷测试内容………16参考文献……………………18DB44/T

前 言

DB44/T

引言DB44/T

移动智能终端软件安全性测试规范

范围本标准适用于移动智能终端软件生存周期的开发过程，适用于移动智能终端软件的开发方、需方

规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

GB/T

9386计算机软件测试文档编制规范

GB/T

GB/T

20158信息技术软件生存周期过 配置管理(GB/T

20158-2006,ISO/IEC

TR

15846GJB/Z

142 军用软件安全性分析指南YD/T

X.msec-6：2012,NEQ)YD/T

2408 移动智能终端安全能力测试方法

术语和定义GB/T

8566、GB/T

15532、GB/T

2407-2013界定的以

mobile

具有接入移动通信网能力，能够提供应用程序开发接口的开放操作系统，并能够安装和运行第三

2407-2013，定义

terminal

DB44/T

item

项的某个特性的取值范围的一种表示，该特性取值范围对将系统风险保持在可容忍的限度内是必需的。对于执行缓减功能的项，此特性是指项必须执行缓减功能的可靠性。对于因其失效能导致一个

18492-2001，定义3.9]风险risk

threat

总则4.1

测试目的a) b)

c)d)DB44/T

4.2

测试类别a)b) c) 可根据移动智能终端软件的规模、类型和完整性级别选择执行测试的类别。选择的测试类别应经4.3

测试组织移动智能终端软件安全性测试作为移动智能终端软件测试内容的一部分，一般与移动智能终端软a) b)测试可在开发方内部随着项目的进展逐步完成，也可在完成开发后由需方或第三方同时完成4.4

测试过程

概述移动智能终端软件测试的测试过程一般包括五项活动，分别是：测试策划、测试需求分析、测试4.4.2

测试策划移动智能终端软件的投资方、开发方、测试方、政府监管部门、用户等利益相关方应参与软件测a)

b)

c)

d)

e)

f)

g)

h)

i)

j)

k)

l)

m)

n)

o)

4.4.3

测试需求分析a)

DB44/T

b)

c)

4.4.4

测试设计a)

b)

c)

d)

e)

f)

g)

h)

4.4.5

测试执行a)

b)

4.4.6

测试总结a)

b)

c)

d)

e)

f)

4.5

测试管理4.5.1

过程管理

概述a)b) c) d) DB44/T

4.5.1.2

启动和范围定义a) b)当安全性测试的要求得以建立后，管理者应通过检查执行和管理安全性测试所需要的人员、c)若需要并经投资方、开发方、政府监管部门、最终用户等利益相关方的同意，可以在此刻修

策划在策划活动中管理者应为安全性测试的执行制定计划。测试策划活动在软件安全性测试方面的任

4.5.1.4

执行和控制a)b)项目计划）的规定向测试委托方提供测试过程进展的外部报告。测试过程进展的报告应对安c) 管理者应调查、分析和解决在测试过程执行期间发现的问题，包括安全性测试的问题。问题

结束a)当安全性测试的所有测试活动和任务结束时，管理者应根据合同中（或项目计划）中规定的b)管理者应检查安全性测试开展的活动和完成的任务的结果和记录是否完整，这些结果和记录4.5.2

配置管理a) b) c)d)e)移动智能终端软件变更时，测试方应针对软件变更进行软件安全性测试影响域分析，并调整

4.5.3

测试准入准出条件DB44/T

4.5.3.1

测试准入条件a) b)具有移动智能终端软件的需求规格说明和设计文档，软件需求规格说明中应包括移动智能终c)d) e) 具有开展移动智能终端软件安全性测试的运行环境和工具，且运行环境和工具满足安全性测4.5.3.2

测试准出条件a) b) c) d) e) f) g) h)i) 4.6

测试文档移动智能终端软件安全性测试的测试文档可以与移动智能终端软件其他内容的测试文档合并，也可以单独形成自己的文档。测试文档一般包括测试计划、测试说明（需要时进一步细分为测试设计说明、测试用例说明和测试规程说明）、测试项传递报告、测试日志、测试记录、测试问题报告（也称测试事件报告）和测试总结报告，测试文档的内容应满足GB/T

4.7

测试环境测试环境包括测试的运行环境和测试工具环境，在执行安全性测试前，应检查移动智能终端软件安全性测试的运行环境和测试工具环境中部署的软件是否配置正确，是否需要安装最新的软件补丁，当测试环境无法完全满足安全性测试的要求时，应分析测试环境对安全性测试结果的影响，并评估其

评审4.8.1

评审人员对移动智能终端软件的安全性测试进行评审应组织利益相关方参与，包括投资方、开发方、测试4.8.2

评审时间在执行移动智能终端软件安全性测试前应进行测试就绪评审，在完成移动智能终端软件安全性测DB44/T

4.8.3

评审内容4.8.3.1

测试就绪评审a) b) c) d) e)f) g) h) i) 4.8.3.2

测试评审a) b) c)d) e)f) g) h) i) j)

文档审查

概述软件文档作为软件产品的组成部分，需与相关程序测试一并进行审查，确保软件文档之间、软件文档与程序之间保持一致、正确。文档审查的主要对象包括系统需求规格说明、系统设计说明、软件5.2

系统需求规格说明审查a) 是否列出了移动智能终端所有可能发生的威胁。例如：用户隐私数据泄露，话费损失，系统b) 对于列出的威胁，是否规定了用于消除或控制威胁的安全功能需求，包括安全控制、安全监c) 是否确定了所有安全功能的完整性级别，可按照

GB/T

DB44/T

d)

e) 5.3

系统设计说明审查a)b)c)d) e)5.4

软件需求规格说明审查a)b)1) 2) 3) c)d) e)f) g)h)5.5

软件概要设计说明审查a) b) c)1) 2) 3)

d)e)f)g) h)i)j) k)l)m) DB44/T

n) 5.6

软件详细设计说明审查a)安全功能是否能溯源到软件概要设计说明中的安全功能，显示对于软件概要设计说明的依从b) c) d)e) f)g) h)i) j)k) l)

源代码测试6.1

代码审查6.1.1

组织形式代码审查组由四人以上组成，分别为组长、资深程序员、程序编写者与专职测试人员。组长应由具有编程经验、有较强的组织协调和表达能力的人员来担当，他不能是被测试程序的编写者。组长负责分配资料、安排计划、主持会议、记录并保存被发现的差错。如果代码审查由第三方组织实施，审查组应与程序编写者对发现的问题进行讨论，形成双方共同认可的审查结果，以避免由于理解不一致6.1.2

审查过程a) 准备：组长提前把移动智能终端软件的相关文档、源代码清单及有关要求、规范等材料分发给审查组成员，作为审查的依据。分发的材料中应包括安全编码的详细要求。审查组成员熟悉这些材料，被测程序的设计人员和程序编写者要向审查组详细说明审查材料，并回答审查b)程序阅读：审查组成员充分阅读代码和相关材料，对照代码审查单检查程序，记录发现的问c)会议审查：审查会由组长主持。程序编写者首先逐句讲解程序，在此过程中，程序编写者或其他审查人员可提出问题，审查错误是否存在。然后，审查组成员利用代码审查单进行分析讨论，在讨论的过程中，组长负责保证讨论沿着建设性方向前进，而其他人则集中于发现错d) 如果发现错误较多或发现重大错误，那么在软件开发人员改正错误之后，组长应再次组织审DB44/T

6.1.3

审查内容a) b) 是否覆盖了软件安全性需求和软件设计的要求，软件安全性需求已经完整地由相应的代码实c) 软件代码是否与软件详细设计、软件概要设计、软件安全性需求和系统安全性需求的外部一d) e) f) g) 是否充分注解安全相关的代码，是否对安全性相关代码加以适当注解，以降低未来因代码变h) i) 6.2

代码走查6.2.1

组织形式代码走查组由四人以上组成，分别为组长、秘书、资深程序员与专职测试人员。组长应由具有编程经验、有较强的组织协调和表达能力的人员来担当，负责分配资料、安排计划、主持会议；秘书负责记录发现的错误；测试人员应是具有经验的程序设计人员，或者是精通程序设计语言人员且从未介入被测程序的设计工作的技术人员。被测试程序的编写者可以作为走查组成员。如果代码走查由第三方组织实施，走查组应与程序编写者对发现的问题进行讨论，形成双方共同认可的走查结果，以避免6.2.2

走查过程a)准备：组长提前把移动智能终端软件的相关文档和源代码分发给走查组成员，走查组成员详b) 生成测试实例：走查组的测试人员根据被测程序设计测试实例，测试实例可以按照使用要求进行设计，还可以按照详细设计的程序流程图进行设计。测试实例包括具有一定代表性的输入数据及其期望输出结果。走查组应尽可能多地设计测试实例，对于安全功能的走查，应尽c) 会议走查：走查组举行会议，组长主持会议。在会上，测试人员讲述每个测试实例的程序执行过程，其他人员扮演计算机角色，对每个测试实例用头脑来替代计算机执行程序，记录程状态，对于安全性要求较低的移动智能终端软件，走查时至少应在程序的路径或控制流发生变化时记录程序的状态。在这个过程中，如果发现问题由秘书记录下来，中间不讨论任何纠d) 形成报告：会后，走查组要将发现的错误形成报告，交给软件开发人员。如果发现错误较多DB44/T

6.2.3

走查内容6.3

静态分析6.3.1

组织形式a) b)测试分析员：确定测试计划、测试内容、测试方法、测试（软、硬件）环境、测试工具，分c)d) e) f)6.3.2

测试内容和方法6.3.2.1

静态结构分析移动智能终端软件安全性测试的静态结构分析应绘制出安全功能源代码的控制流程图和程序调用关系图，静态结构分析人员应将控制流程图和程序调用关系图与移动智能终端软件的概要设计说明和6.3.2.2

代码安全缺陷测试移动智能终端软件的代码安全缺陷测试宜先采用自动化测试工具对安全功能相关的源代码进行扫描，然后对扫描结果进行人工分析，筛除误报的安全缺陷。代码安全缺陷测试的内容可参见附录

A。6.3.2.3

编码标准测试移动智能终端软件的编码标准测试应采用自动化测试工具扫描的方式对移动智能终端软件的安全6.3.3

测试环境6.3.3.1

测试运行环境静态分析可在开发支持环境中进行，也可脱离开发支持环境独立进行，这取决于所选择的静态分6.3.3.2

测试工具环境a) b) c) d)DB44/T

可执行代码测试7.1

组织形式a)b) 测试分析员：确定测试计划，测试内容、测试方法、测试数据生成方法、测试（软、硬件）c)d) e)f) g) h)7.2

测试内容7.2.1

应用软件测试a)是否存在未向用户明示并经用户同意，擅自收集用户数据的行为，包括在用户无确认情况下b)测试应用软件是否存在未向用户明示并经用户同意，擅自修改用户数据的行为，包括在用户c)测试应用软件是否存在未向用户明示并经用户同意，擅自调用终端通信功能造成用户流量消

d)测试应用软件是否存在未向用户明示并经用户同意，擅自调用终端通信功能造成用户费用损失的行为，包括在用户无确认情况下拨打电话、三方通话、发送短信、发送彩信和开启移动e)测试应用软件是否存在未向用户明示并经用户同意，擅自调用终端通信功能造成用户信息泄露的行为，包括在用户无确认情况下读取并传送用户电话本数据、通话记录、短信数据、彩信数据、通话录音、本地录音、图片、视频、音频、定位信息、用户操作内容和操作习惯等f) 测试应用软件对自身数据的安全保护能力，包括是否能防止数据被非法修改，是否能防止数g)h) i)j) k)l)m) n) DB44/T

o)

p)

q)

r)

s)

t)

7.2.2

支撑软件测试移动智能终端软件的支撑软件包括操作系统、嵌入式数据库、驱动等为应用软件提供支撑服务的软件。当测试对象为专门研制的支撑软件时，应对支撑软件的功能进行全面的安全性测试；当测试对象为定制或重用的支撑软件，应重点对支撑软件的接口、参数进行可能影响安全的适配性、恢复性等a)1)移动通信网络数据连接开启/关闭；2) WLAN

3)蓝牙接口开启/关闭；4) 5) 近距离无线通讯技术（NFC）接口开启/关闭；6)7) 8)

9)

b)1)2)3)WLAN

4)WLAN

5) 6) 7) NFC

8)9)NFC

DB44/T

c)

1) 2) 安装签名被篡改过、签名证书被吊销或不具有认