Niciun rezultat găsit

Căutarea dvs. nu a întors niciun rezultat.

Pentru a găsi ceea ce căutați, vă sugerăm să încercați următoarele:

  • Verificați ortografia cuvintelor cheie ale căutării.
  • Utilizați sinonime pentru cuvântul cheie pe care l-ați introdus; de exemplu, încercați “aplicație” în loc de “software”.
  • Încercați una dintre căutările populare prezentate mai jos.
  • Începeți o căutare nouă.
Întrebări frecvente

Analize și testări de securitate

Prezentare generală

Testarea securității codului Oracle include atât activități funcționale, cât și activități non-funcționale pentru verificarea funcțiilor și calității produselor. Deși aceste tipuri de teste vizează adesea caracteristici care se suprapun ale produselor, acestea sunt independente și sunt efectuate de echipe diferite. Testele de securitate funcționale și non-funcționale se completează reciproc, pentru a asigura acoperirea cuprinzătoare a securității produselor Oracle.

Testarea funcțională a securității

Testarea funcțională a securității este executată de obicei de către echipele obișnuite QA pentru produs, ca parte a ciclului normal de testare a produsului. În timpul acestei testări, inginerii QA verifică conformitatea caracteristicilor de securitate implementate cu elementele stabilite anterior în specificațiile funcționale, în timpul proceselor de examinare arhitecturală și a listelor de verificare.

Analiza și testarea pentru asigurarea securității

Analiza și testarea pentru asigurarea securității verifică nivelul de calitate al securității produselor Oracle împotriva atacurilor de diverse tipuri. Există două categorii mari de teste utilizate la testarea produselor Oracle: analize statice și dinamice, care vor fi descrise în secțiunea de mai jos. Aceste teste au corespondențe diferite în ciclul de colaborare al dezvoltării produsului și găsesc categorii de probleme diferite, deci sunt utilizate împreună de echipele de produs Oracle.

Analiza statică

Analiza statică de securitate a codului sursă reprezintă linia inițială de apărare utilizată în timpul ciclului de dezvoltare a produsului. Oracle utilizează un instrument de analiză statică a codului de la Fortify Software, precum și o gamă largă de instrumente dezvoltate intern, pentru a detecta problemele în timp ce codul este scris. Produsele dezvoltate cu cele mai moderne limbaje de programare (precum C/C++, Java, C#) și platforme (J2EE, .NET) sunt scanate, pentru a se identifica posibilele probleme de securitate. Acest tip de verificare funcționează foarte bine pentru identificarea depășirilor memoriei-tampon și a scurgerilor de memorie în codul C/C++, problemelor privind gestionarea memoriei în J2EE și .NET, detectarea utilizării improprii a acreditărilor, diverse injecții, configurări incorecte ale sistemului, etc. Unul dintre dezavantajele acestui tip de analiză îl reprezintă numărul mare de rapoarte fals-pozitive, adică, multe dintre problemele raportate nu constituie o problemă. De regulă, analiza acestor rapoarte de scanare implică ingineri seniori din echipele de produs care sunt familiarizați cu codul produsului, pot clasifica problemele fals-pozitive de cele reale și care cunosc analiza Fortify și regulile de scriere a codului pentru a reduce numărul erorilor fals-pozitive.

Analiza dinamică

Analiza dinamică are loc întotdeauna în timpul ultimelor faze ale dezvoltării produsului: cel puțin, produsul sau componenta trebuie să funcționeze. Deși această activitate poate să difere în cadrul organizațiilor Oracle, de regulă este efectuată de o echipă QA de securitate (sau un grup similar dedicat) și poate fi distribuită de mai multe echipe de produs. Analiza dinamică este destinată interfețelor de produs vizibile din exterior și interfețelor API, bazându-se frecvent pe instrumente specializate de testare. Pentru testare, la Oracle se utilizează și instrumente manuale și automate. Instrumentele automate implică tehnici complicate pentru testarea interfețelor și protocoalelor de produs accesibile prin rețea, în timp ce instrumentele manuale presupune modificarea manuală, dar permite o precizie mai mare.