DB32T 3374-2018 智能終端應(yīng)用軟件安全性測(cè)評(píng)技術(shù)要求

ICSL7735.080ICSL7735.080備案號(hào)：58110-2018DB32備案號(hào)：58110-2018DB32TechnicalTechnicalrequirementsofsecurityforsmartterminalapplicationstesting江蘇省質(zhì)量技術(shù)監(jiān)督局IDB32/T3374—2018 12規(guī)范性引用文件 13術(shù)語(yǔ)、定義、縮略語(yǔ) 14測(cè)評(píng)目標(biāo) 24.1總則 24.2測(cè)評(píng)目標(biāo) 25測(cè)評(píng)方法 35.1收集用戶數(shù)據(jù) 35.2修改用戶數(shù)據(jù) 35.3流量耗費(fèi) 45.4費(fèi)用損失 45.5信息泄露 55.6安裝與卸載 55.7啟動(dòng)與退出 65.8運(yùn)行 65.9更新 75.10廣告行為 75.11其他通用測(cè)試方法 10附錄A（資料性附錄）測(cè)評(píng)報(bào)告 11參考文獻(xiàn) DB32/T3374—2018本標(biāo)準(zhǔn)按照GB/T1.1-2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》給出的規(guī)則起草。本標(biāo)準(zhǔn)由江蘇省軟件工程標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：南京市產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)院、國(guó)家軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心（江蘇）、江蘇蘇測(cè)軟件檢測(cè)技術(shù)有限公司、南京大學(xué)、國(guó)網(wǎng)電力科學(xué)研究院、南京慕測(cè)信息科技有限公司。本標(biāo)準(zhǔn)主要起草人：程秀才、劉曉波、劉艷、王蕊、丁利、陳銀平、榮鼎慧、房春榮、張小飛、鄭珞林、徐劍鋒。1DB32/T3374—2018智能終端應(yīng)用軟件安全性測(cè)評(píng)技術(shù)要求本標(biāo)準(zhǔn)規(guī)定了智能終端應(yīng)用軟件安全性測(cè)評(píng)技術(shù)要求的術(shù)語(yǔ)定義、測(cè)評(píng)目標(biāo)和測(cè)評(píng)方法。本標(biāo)準(zhǔn)適用于移動(dòng)智能終端第三方應(yīng)用軟件的安全性測(cè)評(píng)，個(gè)別條款不適用于特殊行業(yè)、專業(yè)應(yīng)用。其他智能終端參考使用。2規(guī)范性引用文件下列文件對(duì)于本標(biāo)準(zhǔn)的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。YD/T2408-2013移動(dòng)智能終端安全能力測(cè)試方法3術(shù)語(yǔ)、定義、縮略語(yǔ)3.1術(shù)語(yǔ)、定義YD/T2408-2013界定的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。為了便于使用，以下重復(fù)列出了YD/T2408-2013中的某些術(shù)語(yǔ)和定義。3.1.1智能終端smartTerminal能夠接入通信網(wǎng)絡(luò)，具有能夠提供應(yīng)用程序開發(fā)接口的開放操作系統(tǒng)，并能夠安裝和運(yùn)行第三方應(yīng)用軟件的智能終端。3.1.2智能終端應(yīng)用軟件applicationInSmartTerminal以應(yīng)用邏輯封裝文件包形式提供的、運(yùn)行在智能終端開放式操作系統(tǒng)上的、供用戶在應(yīng)用發(fā)布平臺(tái)下載的軟件。3.1.3應(yīng)用發(fā)布平臺(tái)applicationIssuingPlatform通過商業(yè)方式為智能終端用戶提供應(yīng)用軟件下載的平臺(tái)。3.1.4數(shù)字簽名digitalSignature2DB32/T3374—2018附在數(shù)據(jù)單元后面的數(shù)據(jù)，或?qū)?shù)據(jù)單元進(jìn)行密碼變換得到的數(shù)據(jù)。允許數(shù)據(jù)的接收者驗(yàn)證數(shù)據(jù)的來(lái)源和完整性，保護(hù)數(shù)據(jù)不被篡改、偽造，并保證數(shù)據(jù)的不可否認(rèn)性。3.1.5惡意收費(fèi)maliciousCharge在用戶不知情或未授權(quán)的情況下由智能終端上應(yīng)用軟件造成的用戶經(jīng)濟(jì)損失。3.1.6敏感信息sensitiveInformation不為公眾所知悉,具有實(shí)際和潛在利用價(jià)值,丟失、不當(dāng)使用或未經(jīng)授權(quán)訪問對(duì)社會(huì)、企業(yè)或個(gè)人造成危害的信息。3.1.7用戶數(shù)據(jù)userData智能終端上存儲(chǔ)的用戶個(gè)人信息，包括由用戶在本地生成的數(shù)據(jù)、為用戶在本地生成的數(shù)據(jù)、在用戶許可后由外部進(jìn)入用戶數(shù)據(jù)區(qū)的數(shù)據(jù)等。3.2縮略語(yǔ)下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)。APP：智能終端應(yīng)用軟件(application)SQL：結(jié)構(gòu)化查詢語(yǔ)言（structuredQueryLanguage）URL：統(tǒng)一資源定位地址（uniform/universalresourcelacator）WLAN：無(wú)線局域網(wǎng)（wirelessLocalAreaNetwork）XSS：跨站腳本（crossSiteScripting）4測(cè)評(píng)目標(biāo)4.1總則保證智能終端應(yīng)用軟件對(duì)敏感行為的可控性，確保無(wú)損害用戶利益和危害網(wǎng)絡(luò)安全的行為。示例：惡意吸費(fèi)、未經(jīng)授權(quán)的修改、刪除、向外傳送用戶4.2測(cè)評(píng)目標(biāo)測(cè)評(píng)智能終端應(yīng)用軟件是否符合國(guó)家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)和安全管理相關(guān)文件要求，為智能終端應(yīng)用軟件的安全規(guī)范提供技術(shù)和法律依據(jù)，主要包括：——智能終端應(yīng)用軟件在使用過程中向用戶展示的互聯(lián)網(wǎng)信息應(yīng)符合國(guó)家和行業(yè)相關(guān)法律法規(guī)的規(guī)定，且不應(yīng)危害社會(huì)公共安全；——智能終端應(yīng)用軟件的開發(fā)方應(yīng)提供合法的身份信息，作為安全問題追溯的依據(jù)；——檢測(cè)智能終端應(yīng)用軟件本身不應(yīng)存在信息安全漏洞；——檢測(cè)智能終端應(yīng)用軟件不應(yīng)存在超越其功能范圍收集手機(jī)用戶隱私數(shù)據(jù)、故意偷跑流量、惡意消耗手機(jī)資源等安全隱患；3DB32/T3374—2018——為智能終端應(yīng)用軟件發(fā)布提供國(guó)家法律認(rèn)可的第三方檢測(cè)報(bào)告，詳見附錄A。5測(cè)評(píng)方法5.1收集用戶數(shù)據(jù)5.1.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件收集用戶數(shù)據(jù)行為。5.1.2預(yù)置條件被測(cè)智能終端應(yīng)用軟件于正常工作狀態(tài)。5.1.3測(cè)試步驟a)使智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)（包括服務(wù)器和客戶端軟件）處于正常工作狀態(tài)；b)將智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)的客戶端軟件安裝到移動(dòng)智能終端上，并與服務(wù)器建立連接；c)使用基于特征碼掃描、靜態(tài)源代碼分析、動(dòng)態(tài)行為監(jiān)測(cè)等檢測(cè)方法，對(duì)被測(cè)智能終端應(yīng)用軟件未向用戶明示并經(jīng)用戶同意，擅自收集用戶數(shù)據(jù)的行為（包括在用戶無(wú)確認(rèn)情況下開啟通話錄音、本地錄音、拍照/攝像和定位的行為）進(jìn)行檢測(cè)。5.1.4評(píng)測(cè)結(jié)果如智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)顯示被測(cè)應(yīng)用軟件無(wú)擅自收集用戶數(shù)據(jù)的行為，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！保环粗?，該項(xiàng)目評(píng)測(cè)結(jié)果為“不符合要求”。5.2修改用戶數(shù)據(jù)5.2.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件修改用戶數(shù)據(jù)行為。5.2.2預(yù)置條件被測(cè)智能終端應(yīng)用軟件處于正常工作狀態(tài)。5.2.3測(cè)試步驟a)使智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)（包括服務(wù)器和客戶端軟件）處于正常工作狀態(tài)；b)將智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)的客戶端軟件安裝到移動(dòng)智能終端上，并與服務(wù)器建立連接；c)使用基于特征碼掃描、靜態(tài)源代碼分析、動(dòng)態(tài)行為監(jiān)測(cè)等檢測(cè)方法，對(duì)被測(cè)智能終端應(yīng)用軟件未向用戶明示并經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)的行為（包括在用戶無(wú)確認(rèn)情況下刪除或修改用戶電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)和彩信數(shù)據(jù)的行為）進(jìn)行檢測(cè)。5.2.4評(píng)測(cè)結(jié)果如智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)顯示被測(cè)應(yīng)用軟件無(wú)擅自修改用戶數(shù)據(jù)的行為，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！?；反之，該項(xiàng)目評(píng)測(cè)結(jié)果為“不符合要求”。4DB32/T3374—20185.3流量耗費(fèi)5.3.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件流量耗費(fèi)行為。5.3.2預(yù)置條件：被測(cè)智能終端應(yīng)用軟件處于正常工作狀態(tài)。5.3.3測(cè)試步驟a)使智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)（包括服務(wù)器和客戶端軟件）處于正常工作狀態(tài)；b)將智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)的客戶端軟件安裝到移動(dòng)智能終端上，并與服務(wù)器建立連接；c)使用基于特征碼掃描、靜態(tài)源代碼分析和動(dòng)態(tài)行為監(jiān)測(cè)等檢測(cè)方法，對(duì)被測(cè)智能終端應(yīng)用軟件未向用戶明示并經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶流量消耗的行為（包括在用戶無(wú)確認(rèn)情況下通過移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接、WLAN網(wǎng)絡(luò)連接和無(wú)線外圍接口傳送數(shù)據(jù)的行為）進(jìn)行檢測(cè)。5.3.4評(píng)測(cè)結(jié)果如果智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)顯示被測(cè)智能終端應(yīng)用軟件無(wú)擅自調(diào)用終端通信功能，造成用戶流量消耗的行為，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！?；反之，該項(xiàng)目評(píng)測(cè)結(jié)果為“不符合要求”。5.4費(fèi)用損失5.4.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件費(fèi)用損失行為。5.4.2預(yù)置條件被測(cè)智能終端應(yīng)用軟件處于正常工作狀態(tài)。5.4.3測(cè)試步驟a)使智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)（包括服務(wù)器和客戶端軟件）處于正常工作狀態(tài)；b)將智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)的客戶端軟件安裝到移動(dòng)智能終端上，并與服務(wù)器建立連接；c)使用基于特征碼掃描、靜態(tài)源代碼分析和動(dòng)態(tài)行為監(jiān)測(cè)等檢測(cè)方法，對(duì)被測(cè)智能終端應(yīng)用軟件未向用戶明示并經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶費(fèi)用損失的行為（包括在用戶無(wú)確認(rèn)情況下?lián)艽螂娫?、發(fā)送短信、發(fā)送彩信和開啟移動(dòng)通信網(wǎng)絡(luò)連接并收發(fā)數(shù)據(jù)的行為）進(jìn)行檢測(cè)。5.4.4評(píng)測(cè)結(jié)果如果智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)顯示被測(cè)智能終端應(yīng)用軟件無(wú)擅自調(diào)用終端通信功能，造成用戶費(fèi)用損失的行為，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！保环粗擁?xiàng)目評(píng)測(cè)結(jié)果為“不符合要求”。5.5信息泄露5DB32/T3374—20185.5.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件信息泄露行為。5.5.2預(yù)置條件被測(cè)智能終端應(yīng)用軟件處于正常工作狀態(tài)。5.5.3測(cè)試步驟a)使智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)（包括服務(wù)器和客戶端軟件）處于正常工作狀態(tài)；b)將智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)的客戶端軟件安裝到移動(dòng)智能終端上，并與服務(wù)器建立連接；c)使用基于特征碼掃描、靜態(tài)源代碼分析和動(dòng)態(tài)行為監(jiān)測(cè)等檢測(cè)方法，對(duì)被測(cè)智能終端應(yīng)用軟件未向用戶明示并經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶信息泄露的行為（包括在用戶無(wú)確認(rèn)情況下讀取并傳送用戶電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)、通話錄音、本地錄音、圖片、視頻、音頻和定位信息的行為）進(jìn)行檢測(cè)。5.5.4評(píng)測(cè)結(jié)果如果智能終端應(yīng)用軟件信息安全測(cè)試系統(tǒng)顯示被測(cè)智能終端應(yīng)用軟件無(wú)擅自調(diào)用終端通信功能，造成用戶信息泄露的行為，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！保环粗?，該項(xiàng)目評(píng)測(cè)結(jié)果為“不符合要求。5.6安裝與卸載5.6.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件安裝與卸載測(cè)試。5.6.2預(yù)置條件5.6.3測(cè)試步驟a)檢查智能終端應(yīng)用軟件在下載和安裝過程中是否捆綁下載其他應(yīng)用軟件。b)檢查智能終端應(yīng)用軟件安裝時(shí)是否安裝用戶未知或未允許的第三方應(yīng)用。c)檢查智能終端應(yīng)用軟件安裝時(shí)是否有安裝界面，提示安裝進(jìn)度。d)檢查智能終端應(yīng)用軟件在安裝過程中是否可以隨時(shí)取消安裝。e)檢查智能終端應(yīng)用軟件在安裝完成后是否強(qiáng)制用戶重啟設(shè)備。f)檢查智能終端應(yīng)用軟件是否提供卸載軟件的方式，供用戶隨時(shí)卸載應(yīng)用軟件。g)檢查智能終端應(yīng)用軟件是否卸載徹底。5.6.4評(píng)測(cè)結(jié)果智能終端應(yīng)用軟件滿足以下評(píng)測(cè)結(jié)果時(shí)，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！保粗?，該項(xiàng)目評(píng)測(cè)結(jié)果為“不符合要求”：a)智能終端應(yīng)用軟件在下載和安裝過程中沒有捆綁下載其他應(yīng)用軟件；b)智能終端應(yīng)用軟件安裝時(shí)沒有安裝用戶未知和未允許的第三方應(yīng)用；c)智能終端應(yīng)用軟件安裝時(shí)有安裝界面，提示安裝進(jìn)度；d)智能終端應(yīng)用軟件在安裝過程中可以隨時(shí)取消安裝；6DB32/T3374—2018e)智能終端應(yīng)用軟件在安裝完成后沒有強(qiáng)制用戶重啟設(shè)備；f)智能終端應(yīng)用軟件提供卸載軟件的方式，供用戶隨時(shí)卸載應(yīng)用軟件；g)智能終端應(yīng)用軟件卸載徹底，沒有在系統(tǒng)中留下應(yīng)用軟件的臨時(shí)文件和活動(dòng)程序或模塊。5.7啟動(dòng)與退出5.7.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件啟動(dòng)與退出。5.7.2預(yù)置條件被測(cè)智能終端應(yīng)用軟件處于正常工作狀態(tài)。5.7.3測(cè)試步驟a)檢查智能終端應(yīng)用軟件是否可以開啟或關(guān)閉開機(jī)自動(dòng)運(yùn)行功能；b)檢查智能終端應(yīng)用軟件啟動(dòng)時(shí)是否自動(dòng)連接某網(wǎng)站或鏈接；c)檢查智能終端應(yīng)用軟件退出時(shí)是否停止運(yùn)行所有屬于該軟件的進(jìn)程。5.7.4評(píng)測(cè)結(jié)果智能終端應(yīng)用軟件滿足以下評(píng)測(cè)結(jié)果，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！?，反之，該項(xiàng)目評(píng)測(cè)結(jié)果為“不符合要求”：a)智能終端應(yīng)用軟件可以開啟或關(guān)閉開機(jī)自動(dòng)運(yùn)行功能；b)智能終端應(yīng)用軟件啟動(dòng)時(shí)沒有自動(dòng)連接某網(wǎng)站或鏈接；c)智能終端應(yīng)用軟件退出時(shí)停止運(yùn)行所有屬于該軟件的進(jìn)程。5.8運(yùn)行5.8.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件運(yùn)行測(cè)試。5.8.2預(yù)置條件被測(cè)智能終端應(yīng)用軟件處于正常工作狀態(tài)。5.8.3測(cè)試步驟a)檢查智能終端應(yīng)用軟件在后臺(tái)運(yùn)行時(shí)是否讓用戶知曉；b)檢查智能終端應(yīng)用軟件（除即時(shí)消息類等一些必須的應(yīng)用）是否常駐通知欄；c)檢查智能終端應(yīng)用軟件是否能夠關(guān)閉常駐通知欄；d)檢查智能終端應(yīng)用軟件在運(yùn)行時(shí)是否強(qiáng)制用戶下載其他應(yīng)用，或在運(yùn)行過程中未經(jīng)用戶許可在后臺(tái)下載其他應(yīng)用；e)檢查智能終端應(yīng)用軟件在發(fā)送聯(lián)網(wǎng)請(qǐng)求時(shí)，是否具備防止頻繁聯(lián)網(wǎng)的機(jī)制。5.8.4評(píng)測(cè)結(jié)果智能終端應(yīng)用軟件滿足以下評(píng)測(cè)結(jié)果，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！?，反之，該項(xiàng)目評(píng)測(cè)結(jié)果為“不符合要求”：a)智能終端應(yīng)用軟件在后臺(tái)運(yùn)行時(shí)讓用戶知曉；7DB32/T3374—2018b)智能終端應(yīng)用軟件（除即時(shí)消息類等一些必須的應(yīng)用）未常駐通知欄；c)智能終端應(yīng)用軟件能夠關(guān)閉常駐通知欄；d)智能終端應(yīng)用軟件在運(yùn)行時(shí)沒有強(qiáng)制用戶下載其他應(yīng)用，或在運(yùn)行過程中未經(jīng)用戶許可在后臺(tái)下載其他應(yīng)用；e)智能終端應(yīng)用軟件在發(fā)送聯(lián)網(wǎng)請(qǐng)求時(shí)，具備防止頻繁聯(lián)網(wǎng)的機(jī)制。5.9更新5.9.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件更新測(cè)試。5.9.2預(yù)置條件被測(cè)智能終端應(yīng)用軟件處于正常工作狀態(tài)。5.9.3測(cè)試步驟a)檢查智能終端應(yīng)用軟件在有更新版本時(shí)，是否提示用戶，在用戶允許后更新；b)檢查智能終端應(yīng)用軟件更新失敗后是否反復(fù)聯(lián)網(wǎng)更新；c)檢查智能終端應(yīng)用軟件在更新失敗后是否能回到更新前的版本。5.9.4評(píng)測(cè)結(jié)果智能終端應(yīng)用軟件滿足以下評(píng)測(cè)結(jié)果，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！保粗?，該項(xiàng)目評(píng)測(cè)結(jié)果為“不符合要求”：a)智能終端應(yīng)用軟件在有更新版本時(shí)，提示用戶，在用戶允許后更新；b)智能終端應(yīng)用軟件更新失敗后沒有反復(fù)聯(lián)網(wǎng)更新；c)智能終端應(yīng)用軟件在更新失敗后能回到更新前的版本。5.10廣告行為5.10.1測(cè)試項(xiàng)目智能終端應(yīng)用軟件廣告行為測(cè)試。5.10.2預(yù)置條件被測(cè)智能終端應(yīng)用軟件處于正常工作狀態(tài)。5.10.3測(cè)試步驟a)檢查智能終端應(yīng)用軟件是否存在通知欄廣告；b)檢查智能終端應(yīng)用軟件是否未經(jīng)用戶許可創(chuàng)建桌面快捷方式、書簽、圖標(biāo)或修改默認(rèn)設(shè)置等方式進(jìn)行廣告展示；c)檢查智能終端應(yīng)用軟件在退出后是否依然存在；d)檢查智能終端應(yīng)用軟件是否存在搶占用戶手機(jī)鎖屏的行為；e)檢查智能終端應(yīng)用軟件是否存在積分墻，在應(yīng)用的啟動(dòng)或使用過程中強(qiáng)制用戶下載應(yīng)用換取積分才可使用應(yīng)用的主要功能。5.10.4評(píng)測(cè)結(jié)果8DB32/T3374—2018智能終端應(yīng)用軟件滿足以下評(píng)測(cè)結(jié)果，則該項(xiàng)目評(píng)測(cè)結(jié)果為“未見異?！保粗?，該項(xiàng)目評(píng)測(cè)結(jié)果為“不符合要求”：a)智能終端應(yīng)用軟件不存在通知欄廣告；b)智能終端應(yīng)用軟件在用戶許可后創(chuàng)建桌面快捷方式、書簽、圖標(biāo)或修改默認(rèn)設(shè)置等方式進(jìn)行廣告展示；c)智能終端應(yīng)用軟件在退出后不存在廣告；d)智能終端應(yīng)用軟件不存在搶占用戶手機(jī)鎖屏的行為；e)智能終端應(yīng)用軟件不存在積分墻，在應(yīng)用的啟動(dòng)或使用過程中強(qiáng)制用戶下載應(yīng)用換取積分才可使用應(yīng)用的主要功能。5.11其他通用測(cè)試方法其他通用測(cè)試方法包括：a)靜態(tài)測(cè)試：對(duì)源代碼進(jìn)行安全掃描，根據(jù)程序中數(shù)據(jù)流、控制流、語(yǔ)義等信息與其特有軟件安全規(guī)則庫(kù)進(jìn)行匹對(duì)，從中找出代碼中潛在的安全漏洞；b)動(dòng)態(tài)的滲透測(cè)試：使用自動(dòng)化工具或人工的方法模擬黑客的輸入，對(duì)應(yīng)用系統(tǒng)進(jìn)行攻擊性測(cè)試，從中找出運(yùn)行時(shí)刻所存在的安全漏洞；c)程序數(shù)據(jù)掃描：數(shù)據(jù)掃描的手段通常是進(jìn)行內(nèi)存測(cè)試，內(nèi)存測(cè)試可以發(fā)現(xiàn)許多諸如緩沖區(qū)溢出之類的漏洞；d)基于特征碼的方法：檢測(cè)程序中是否包含己知的惡意軟件特征代碼（一段特殊代碼或字符串）。通常是提取應(yīng)用程序的特征（字節(jié)或指令序列），然后與特征庫(kù)進(jìn)行相似性匹配；e)人工檢測(cè)：專業(yè)安全人員對(duì)待檢測(cè)應(yīng)用，對(duì)其進(jìn)行安裝、運(yùn)行和試用，通過在試用過程中，逐步掌握應(yīng)用的特點(diǎn)，并通過專業(yè)經(jīng)驗(yàn)，來(lái)圈定檢測(cè)重點(diǎn)。人工專業(yè)檢測(cè)在涵蓋基礎(chǔ)檢測(cè)和深度檢測(cè)的全部檢測(cè)項(xiàng)的同時(shí)，兼顧側(cè)重點(diǎn)檢測(cè)，給予應(yīng)用更全面、更專業(yè)、更貼合應(yīng)用的量身打造的檢測(cè)服務(wù)。9DB32/T3374—2018（資料性附錄）測(cè)評(píng)報(bào)告A.1總則測(cè)評(píng)實(shí)施方在測(cè)評(píng)完成后，應(yīng)向委托測(cè)評(píng)方提交正式的的測(cè)評(píng)報(bào)告，測(cè)評(píng)報(bào)告應(yīng)包括但不限于以下a)測(cè)評(píng)對(duì)象概述；b)測(cè)評(píng)依據(jù)；c)測(cè)評(píng)概要；d)測(cè)評(píng)分析；e)測(cè)評(píng)結(jié)論；A.2測(cè)評(píng)對(duì)象概述對(duì)委托測(cè)評(píng)的單位、被測(cè)評(píng)對(duì)象名稱、測(cè)評(píng)內(nèi)容、測(cè)評(píng)范圍等進(jìn)行簡(jiǎn)要說(shuō)明。A.3測(cè)評(píng)依據(jù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)時(shí)所依據(jù)的基礎(chǔ)，如國(guó)家有關(guān)法律、法規(guī)，以及國(guó)家、行業(yè)和地方現(xiàn)行的軟件項(xiàng)目相關(guān)標(biāo)準(zhǔn)和規(guī)范等。A.4測(cè)評(píng)概要A.4.1測(cè)評(píng)人員列出參與該測(cè)評(píng)人員的角色、姓名和具體職責(zé)?？梢员砀裥问搅_列重要角色人員。A.4.2測(cè)評(píng)環(huán)境列出執(zhí)行該測(cè)評(píng)時(shí)所搭建的軟、硬件環(huán)境、