شماره: IRCAR201509275
تاريخ: 08/07/94
روش هاي تست
روش هاي تست مختلفي مي تواند براي ارزيابي برنامه هاي كاربردي مورد استفاده قرار گيرد. از طريق اين فرآيند ارزيابي برنامه ها، سازمان ها مي توانند تصميم بگيرند كه آيا اين برنامه ها مي توانند الزامات امنيتي سازمان را برآورده كنند يا نمي توانند.
در هنگام فرآيند تست و ارزيابي تمامي لايه ها از جمله كلاينت، كد و واسط كاربري بايد مورد ارزيابي قرار گيرد و تمامي لايه ها مي تواند به طور بالقوه تحت تاثير آسيب پذيري امنيتي قرار داشته باشند.
روش هاي تست از جمله تست ايستاي امنيت برنامه (SAST) و تست پوياي امنيت برنامه (DAST) براي تست برنامه هاي كاربردي تلفن همراه مناسب هستند. روش هاي تست رفتاري و تجزيه و تحليل اجراي برنامه نيز براي برنامه هاي كاربردي تلفن همراه استفاده مي شوند و مي توانند اطلاعات ارزشمندي را در اختيار سازمان ها قرار دهند.
براي فرآيند ارزيابي برنامه ها بايد از چندين روش تست بهره برد زيرا هر روش تست ممكن است تمامي جنبه ها را در نظر نگيرد و تنها يك الزام خاص را مورد بررسي قرار دهد. براي داشتن يك ارزيابي موفق و موثر بايد در ابزارهاي تست به زمان و ملاحظات امنيتي توجه شود.
روش هاي تست مي تواند شامل موارد زير باشد:
- تست صحت سنجي
- تجزيه و تحليل كد منبع و كد باينري
- تجزيه و تحليل پويا يا ايستا
- تست دستي
- تست خودكار
پس از انتخاب ابزارهاي مناسب ارزيابي و تست برنامه كاربردي و جمع آوري نتايج حاصل از آن بايد اين نتايج را نگهداري كنيد. توصيه مي شود تا اين نتايج از طريق يك نرم افزار پايگاه داده جامع به اشتراك گذارده شود. بدين ترتيب متخصصان امنيت و سازمان ها مي توانند از تلاش هاي صورت گرفته استفاده كنند و در زمان و هزينه صرفه جويي شود.
گزارش نتايج حاصله و ارزيابي خطر بسيار حياتي است. نتايج بايد مستقيما و به راحتي در اختيار متخصصان ارزيابي قرار گيرد تا بررسي شوند.
قبول شدن يا رد شدن برنامه كاربردي
بايد رويه اي پيش از ارزيابي برنامه براي مديريت يك برنامه مورد پذيرش واقع شده يا رد شده تنظيم شود. اين مساله بايد به عنوان بخشي از رويه هاي خط مشي سازمان براي امنيت برنامه كاربردي در نظر گرفته شود. اين مساله از آن جهت ضرورت دارد تا بتوان قدم بعدي در مواجه با پذيرش برنامه يا رد آن را دانست و بتوان در صورت پذيرش برنامه را نصب و در غيراينصورت آن را از روي سيستم ها حذف نمود.
بازرس (توصيه مي شود تا بيش از يك بازرس نتايج را ارزيابي كند) بايد نتايج بدست آمده از گزارش ارزيابي و سطح ريسك استفاد از برنامه را به صورت قطعي بررسي كند و بايد با در نظر گرفتن عملكرد سازمان و الزامات امنيتي آن نتيجه قطعي خود را در خصوص پذيرش يا رد برنامه اعلام كند.
فرد ارزياب بايد با استفاده و رعايت ملاحظات زير تصميم خود را اعلام كند:
در صورت پذيرش برنامه و استفاده از آن بايد سطح ريسك برنامه در نظر گرفته شود.
- وضع امنيت برنامه
- آستانه ريسك سازمان
- الزامات ارزيابي سازمان
- گزارش ها و ارزيابي ريسك خروجي تست برنامه
- نوع داده اي كه پردازش مي شود
- ميزان حياتي بودن برنامه براي سازمان
- كساني كه از برنامه استفاده خواهند كرد
- محيطي كه برنامه قرار است در آن اجرا يا مستقر شود و نوع سخت افزاري كه مورد نياز است.
- اسناد برنامه و توافقات سطح سرويس
در نهايت اين سازمان است كه بايد با توجه به نتايج بدست آمده برنامه را مورد پذيرش قرار دهد يا آن را رد كند. گروه يا افرادي كه در سازمان مسئول ارزيابي برنامه ها هستند بايد اين توصيه ها را با كسب و كارهاي ديگري كه ممكن است از اين برنامه ها استفاده كنند به اشتراك بگذارد.
رويه هاي پياده سازي يا حذف برنامه بسته به پذيرش يا رد برنامه بايد اجرا شده و مورد قبول كل سازمان واقع شود.
مطالب مرتبط:
ارزيابي امنيتي برنامه هاي كاربردي تلفن همراه (بخش اول) - برنامه ريزي (قسمت 2)
ارزيابي امنيتي برنامه هاي كاربردي تلفن همراه (بخش دوم)- تست برنامه (قسمت 1)
ارزيابي امنيتي برنامه هاي كاربردي تلفن همراه (بخش دوم)- تست برنامه(قسمت 2)
منابع:
http://www.windowsecurity.com/articles-tutorials/Mobile_Device_Security/assessing-security-mobile-a…
- 8