لم يتم العثور على نتائج

بحثك لم يطابق أي نتائج.

تحليل الأمان واختباره

نظرة عامة

يتضمن الاختبار الأمني لتعليمات Oracle البرمجية كلاً من الأنشطة الوظيفية وغير الوظيفية للتحقق من ميزات المنتجات وجودتها. بالرغم من استهداف هذه الاختبارات غالبًا لميزات المنتج المتداخلة، إلا أن لديها أهدافًا متعامدة تقوم فرق مختلفة بإجرائها. تُكمّل الاختبارات الأمنية الوظيفية وغير الوظيفية بعضها البعض لتوفير التغطية الأمنية الشاملة لمنتجات Oracle.

اختبارات الأمان الوظيفية

يتم تنفيذ اختبارات الأمان الوظيفية عادةً بواسطة فرق ضمان جودة المنتج العادية كجزء من دورة اختبار المنتج الطبيعية. أثناء هذا الاختبار، يتحقق مهندسو ضمان الجودة من تطبيق ميزات الأمان وفقًا لما تم الاتفاق عليه مسبقًا في المواصفات الوظيفية خلال عملية مراجعات قائمة التدقيق وعملية التصميم.

تحليلات ضمان الأمان واختباراته.

تؤكد تحليلات ضمان الأمان واختباراته أن مميزات الأمان في منتجات Oracle ضد أنواع الهجمات المتنوعة. هناك فئتان أساسيتان من الاختبارات المستخدمة في اختبار منتجات Oracle: التحليلات الإحصائية والديناميكية الموضحة بالتفصيل في القسم أدناه. تلائم هذه الاختبارات مراحل تطور المنتج بشكل مختلف، كما تميل للعثور على فئات مختلفة من المشاكل، لتستخدمها فرق منتجات Oracle معًا.

التحليل الإحصائي

تحليلات الأمان الإحصائية للتعليمات البرمجية المصدر هي الخط الدفاعي الأولي المستخدم أثناء دورة تطوير المنتج. تستخدم Oracle محلل التعليمات البرمجية الإحصائي من Fortify Software، وهي شركة تابعة لشركة HP، بالإضافة إلى مجموعة متنوعة من الأدوات المطورة داخليًا لرصد المشاكل أثناء كتابة التعليمات البرمجية. يتم فحص المنتجات المطورة بمعظم لغات البرمجة الحديثة (مثل C/C++‎،‏ Java،‏ C#‎) والأنظمة (J2EE،‏ ‎.NET) لتحديد المشاكل الأمنية المحتملة. يصلح هذا النوع من التحقق لتحديد حالات تجاوز سعة المخزن المؤقت وتسرب الذاكرة في تعليمات C/C++‎ البرمجية، ومشاكل معالجة الموارد في J2EE و‎.NET والعثور على معالجة بيانات الاعتماد غير المناسبة، وحالات التسرب المتنوعة، وعمليات تكوين النظام غير الصحيحة، وغير ذلك. وإحدى سلبيات هذا النوع من التحليلات هو المستوى العالي من التقارير الإيجابية الخاطئة حيث يرِد في التقارير كثير من العناصر التي لا تشكل مشكلة حقيقية. تشمل تحليلات تقارير عمليات الفحص هذه عادةً مهندسين كبار من فرق المنتجات؛ يكونون على دراية برمز المنتج، مما يمكِّنهم من التفرقة بين التقارير الإيجابية الخاطئة وتقارير المشاكل الحقيقية لتقليل عدد التقارير الإيجابية الخاطئة.

التحليل الديناميكي

يحدث نشاط التحليل الديناميكي دائمًا خلال المراحل الأخيرة من تطوير المنتج: يجب أن يكون المنتج أو المكون قادرًا على العمل على أقل تقدير. مع أن هذا النشاط قد يختلف باختلاف مؤسسات Oracle إلا أنه يخضع لمعالجة فريق ضمان جودة الأمان (أو مجموعة متخصصة مماثلة) بصورة نموذجية وقد يتم مشاركته عبر فرق المنتجات المتعددة. يستهدف التحليل الديناميكي واجهات المنتج وواجهات برمجة التطبيقات المرئية خارجيًا، ويعتمد بشكل متكرر على أدوات متخصصة لإجراء الاختبارات. تُستخدم الأدوات اليدوية والآلية كلتاهما لإجراء الاختبارات داخل شركة Oracle. تستخدم الأدوات الآلية تقنية عشوائية لاختبار البروتوكولات وواجهات المنتجات المتصلة بشبكة الإنترنت في حين يتطلب استخدام الأدوات اليدوية القيام بتعديلات يدوية ولكنها توفر أكبر قدر من الصحة والدقة.