彭會(huì)斌，費(fèi) 琪

(江蘇自動(dòng)化研究所，江蘇 連云港 222061)

0 引 言

隨著面向?qū)ο?、?gòu)件軟件、分布式軟件等新技術(shù)的興起，軟件安全性變得日益重要，并成為制約軟件技術(shù)發(fā)展與應(yīng)用的一個(gè)重要因素[1]。特別是在一些涉及國(guó)家和軍事機(jī)密的應(yīng)用場(chǎng)合，軟件的安全性更是被認(rèn)為是軟件產(chǎn)品的首要質(zhì)量屬性。近年來(lái)，軟件安全性事件層出不窮，涉及的領(lǐng)域也越來(lái)越廣，造成的危害也越來(lái)越大，而且這種趨勢(shì)的增長(zhǎng)速度十分驚人。

在實(shí)際的安全測(cè)試過(guò)程中，由于測(cè)試本身的局限性，不可能做到理論上的“完全”測(cè)試[2-4]，即不能對(duì)軟件所有的運(yùn)行場(chǎng)景進(jìn)行測(cè)試和驗(yàn)證，因此也就不能檢測(cè)到所有可能的異常操作。而這些異常操作往往是非法用戶精心構(gòu)造，能夠利用軟件本身存在的缺陷進(jìn)行的，是一種在實(shí)際正常使用中操作概率非常小的操作。同時(shí)，實(shí)際使用中，用戶在關(guān)心軟件能夠做什么的同時(shí)，也更看重軟件系統(tǒng)可以避免怎樣的攻擊[5-6]。由于現(xiàn)行安全性測(cè)試標(biāo)準(zhǔn)的可行性不高、測(cè)試人員對(duì)安全機(jī)制的忽視以及軍用軟件等關(guān)鍵軟件對(duì)安全性的苛刻要求，導(dǎo)致傳統(tǒng)的軟件安全性功能測(cè)試并不能完全適應(yīng)軍用軟件安全性定型測(cè)試[7]；相比之下，從軟件可能具有的典型安全性缺陷出發(fā)，通過(guò)分析用戶的反向使用行為可能觸發(fā)的軟件缺陷來(lái)獲取測(cè)試需求則具有更強(qiáng)的針對(duì)性。也就是說(shuō)，軟件安全性缺陷測(cè)試需求是從非法用戶的視角確定軟件不應(yīng)該具有的非法功能和缺陷，是一種反向測(cè)試需求。

軟件安全性測(cè)試作為保證軟件安全性的一種重要途徑，對(duì)軟件產(chǎn)品進(jìn)行安全性評(píng)價(jià)具有重要意義[8-9]。根據(jù)國(guó)家規(guī)劃，軟件測(cè)試技術(shù)將作為保證軟件產(chǎn)品安全性的重要手段，力爭(zhēng)使測(cè)試越早介入軟件開(kāi)發(fā)，從而提高軟件抵御潛在風(fēng)險(xiǎn)的能力，降低軟件的安全效率。

軟件安全性測(cè)試需求的獲取是生成軟件安全性測(cè)試用例進(jìn)行實(shí)際測(cè)試的基礎(chǔ)。目前在提取軟件安全性需求方面主要采取的是安全性用例技術(shù)，通過(guò)描述遐想的異常場(chǎng)景，進(jìn)而人工分析提出可能存在的安全性缺陷。然而這種獲取安全性測(cè)試需求方法的缺點(diǎn)是：需要專(zhuān)業(yè)的軟件安全需求分析人員，并有從事軟件安全性分析的大量經(jīng)驗(yàn)；獲取軟件安全性需求的人為主觀性較大；獲取軟件安全性需求時(shí)容易造成溢漏或重復(fù)；不能對(duì)需求進(jìn)行優(yōu)先級(jí)確定。

軟件安全性測(cè)試需求的準(zhǔn)確、全面獲取一直是軟件測(cè)試所追求的目標(biāo)之一，但這是一個(gè)極為復(fù)雜的問(wèn)題，就目前的研究成果而言，離全面準(zhǔn)確還存在相當(dāng)大的距離。但其成功解決對(duì)提高軟件質(zhì)量，縮短軟件測(cè)試時(shí)間都具有十分重要的理論價(jià)值和理論意義。

文中首先從影響軟件安全性的缺陷引入原因維、危險(xiǎn)后果維以及可能導(dǎo)致缺陷被激活的操作方式維三個(gè)維度對(duì)安全性缺陷進(jìn)行分類(lèi)；其次，通過(guò)數(shù)據(jù)流圖結(jié)合數(shù)據(jù)交互邊界提出一種可行的基于數(shù)據(jù)交互邊界的軟件安全性缺陷確定技術(shù)；最后，通過(guò)對(duì)DREAD模型的改進(jìn)，提出一種軟件安全性缺陷優(yōu)先級(jí)度量模型，從而解決了軟件安全性缺陷定位問(wèn)題和軟件安全性缺陷優(yōu)先級(jí)確定問(wèn)題。

1 基于測(cè)試的軟件安全性缺陷三維結(jié)構(gòu)表示

1.1 軟件安全性缺陷引入原因維

軟件安全性缺陷的產(chǎn)生主要是由于程序員不正確和不安全編程引起的[10-12]。大多數(shù)程序員在編程初始就沒(méi)有考慮到安全問(wèn)題。在后期，由于用戶不正確的使用以及不恰當(dāng)?shù)呐渲枚伎赡芤氚踩匀毕輀13-14]。分析安全性缺陷產(chǎn)生原因的目的是減少安全缺陷的產(chǎn)生。通過(guò)分類(lèi)、統(tǒng)計(jì)分析，軟件安全性缺陷產(chǎn)生的原因不外乎以下幾種：

(1)對(duì)象不正確交互。

對(duì)象包括：獨(dú)立構(gòu)件、模塊、程序、進(jìn)程或者系統(tǒng)。交互引用包括：數(shù)據(jù)發(fā)送、數(shù)據(jù)接收。

(2)危險(xiǎn)資源管理方式。

軟件系統(tǒng)中，對(duì)重要系統(tǒng)資源進(jìn)行不正確的創(chuàng)建、使用、轉(zhuǎn)移或者破壞。

(3)不正確的安全防護(hù)措施。

相關(guān)防護(hù)或檢測(cè)技術(shù)被濫用、誤用或者被簡(jiǎn)單忽視。

1.2 軟件安全缺陷行為導(dǎo)致軟件產(chǎn)生誤操作方式維

軟件安全性缺陷在具體被測(cè)軟件中被非法利用，是通過(guò)一定的使用行為體現(xiàn)出具體的執(zhí)行過(guò)程的，而這種具體行為稱(chēng)之為對(duì)軟件產(chǎn)生影響的具體方式，這在一定程度上能夠指導(dǎo)具體的基于軟件安全性缺陷的測(cè)試行為。

這里的實(shí)體包括構(gòu)件、類(lèi)、函數(shù)以及數(shù)據(jù)庫(kù)中的項(xiàng)等。如基于構(gòu)件的軟件系統(tǒng)中，通常這種實(shí)體就是指被測(cè)軟件中的構(gòu)件；而在面向?qū)ο蟮能浖?，通常是指?lèi)的刪除；對(duì)于傳統(tǒng)的面向過(guò)程的軟件系統(tǒng)中，通常實(shí)體就是指函數(shù)，這種函數(shù)包括用戶自定義的函數(shù)，也包括軟件中預(yù)定義或引用的其他函數(shù)；在數(shù)據(jù)庫(kù)系統(tǒng)中，這種實(shí)體通常就是指數(shù)據(jù)庫(kù)中的一條記錄。

(1)非法刪除軟件實(shí)體。

這種缺陷是指非法用戶通過(guò)惡意刪除軟件系統(tǒng)中的實(shí)體，從而達(dá)到其相應(yīng)的非法使用目的。通常這種誤操作方式可以不只是針對(duì)單一實(shí)體，也可能是針對(duì)多個(gè)實(shí)體的刪除操作。

(2)非法增加新實(shí)體。

這種缺陷是指非法用戶通過(guò)在被測(cè)軟件中非法地增加新實(shí)體，從而達(dá)到其相應(yīng)的非法使用目的。同理在采用不同實(shí)現(xiàn)技術(shù)的被測(cè)軟件中，實(shí)體的具體形式有所不同。

(3)非法修改實(shí)體。

相對(duì)于前兩類(lèi)非法修改方式，通過(guò)非法修改實(shí)體從而達(dá)到非法用戶相應(yīng)目的的方式最為常見(jiàn)。

1.3 軟件安全性缺陷產(chǎn)生危險(xiǎn)后果維

軟件安全性缺陷被非法利用，即非法用戶通過(guò)攻擊行為使用，從其可能造成的危險(xiǎn)后果的視角來(lái)看，可以分為以下四類(lèi)：

(1)非法執(zhí)行目標(biāo)代碼。

非法用戶利用被測(cè)軟件系統(tǒng)中特定的軟件安全性缺陷，可以達(dá)到執(zhí)行目標(biāo)代碼的目的。這可能只是非法用戶初步的目的，并不是最終產(chǎn)生的最為危險(xiǎn)的后果。如對(duì)于緩沖區(qū)溢出缺陷，雖然其最終目的可能是非法訪問(wèn)數(shù)據(jù)或者修改目標(biāo)對(duì)象，但是對(duì)于非法用戶最初的目的就是按照其用意非法執(zhí)行特定目標(biāo)代碼。

(2)非法修改目標(biāo)對(duì)象。

這里的目標(biāo)對(duì)象也包括不同粒度的對(duì)象，但是這并不同于誤操作分類(lèi)方面的修改實(shí)體。這里的非法修改目標(biāo)對(duì)象是一種軟件特定執(zhí)行的不可預(yù)期的結(jié)果，而并不是基于軟件安全性缺陷的特定執(zhí)行方式。如對(duì)于緩沖區(qū)溢出缺陷，非法用戶利用缺陷進(jìn)行攻擊的目的可能就是由溢出造成對(duì)內(nèi)存數(shù)據(jù)進(jìn)行修改，而為了達(dá)到這種目的，可以通過(guò)軟件系統(tǒng)中相應(yīng)的輸入構(gòu)件。這里的修改也包括對(duì)目標(biāo)對(duì)象的刪除。

(3)非法訪問(wèn)數(shù)據(jù)對(duì)象。

數(shù)據(jù)的非法訪問(wèn)是大多數(shù)軟件安全性缺陷被利用造成的危險(xiǎn)后果。對(duì)于關(guān)鍵軟件系統(tǒng)的安全性，重點(diǎn)就是保護(hù)關(guān)鍵數(shù)據(jù)信息的安全性，而數(shù)據(jù)信息安全性的首要保證就是防止非法訪問(wèn)。

(4)造成拒絕服務(wù)。

拒絕服務(wù)主要是針對(duì)軟件系統(tǒng)結(jié)構(gòu)設(shè)計(jì)上的缺陷，從而可能造成的拒絕服務(wù)的危險(xiǎn)后果。

分別從軟件安全性缺陷引入原因、軟件安全性缺陷行為導(dǎo)致軟件產(chǎn)生的誤操作方式以及可能產(chǎn)生的危險(xiǎn)后果三個(gè)視角對(duì)安全性缺陷進(jìn)行描述，可以對(duì)后續(xù)的基于軟件安全性缺陷的測(cè)試提供信息。軟件安全性缺陷的引入原因可以用軟件安全性缺陷測(cè)試需求的獲取，即被測(cè)軟件中可能存在的缺陷的初步定位；軟件安全性缺陷行為導(dǎo)致軟件產(chǎn)生的誤操作方式的分類(lèi)有助于指導(dǎo)具體的測(cè)試執(zhí)行；而軟件安全性缺陷產(chǎn)生的危險(xiǎn)后果就是缺陷被利用最終產(chǎn)生的超出軟件設(shè)計(jì)者預(yù)期的輸出。

其中三維度中的每個(gè)類(lèi)型還可以隨著以后知識(shí)的積累進(jìn)行擴(kuò)充，這樣便于以后對(duì)軟件安全性缺陷進(jìn)行更加細(xì)致的劃分。圖1給出了這種分類(lèi)方法的形象描述。

圖1 軟件安全性缺陷三維結(jié)構(gòu)分類(lèi)模型

對(duì)于軟件安全性缺陷，首先從引入的原因進(jìn)行分析，然后再對(duì)其進(jìn)行Destructive測(cè)試，就可以仿真出可能的危害，根據(jù)破壞效果也就可以對(duì)安全性缺陷進(jìn)行分類(lèi)。最后在對(duì)軟件系統(tǒng)進(jìn)行回歸修補(bǔ)時(shí)，不可避免地會(huì)涉及到修改方法，所以基于此也可以對(duì)缺陷進(jìn)行分類(lèi)總結(jié)。這種三維結(jié)構(gòu)綜合分類(lèi)法，可以彌補(bǔ)單一分類(lèi)法不夠完善的不足，為測(cè)試人員提供一定的支持。

2 基于數(shù)據(jù)交互邊界的軟件安全性缺陷定位技術(shù)

2.1 確定軟件安全性缺陷可能存在的交互路徑

確定軟件安全性缺陷可能存在的路徑，就是確定最有可能存在安全性缺陷的領(lǐng)域，并確定軟件應(yīng)該采用何種避免措施或保護(hù)措施。如果沒(méi)有采用相應(yīng)的措施，則就確定為軟件安全性缺陷。

(1)需要確定數(shù)據(jù)信息來(lái)源。在軟件系統(tǒng)中，所有的外部數(shù)據(jù)信息的來(lái)源可以概括為以下幾種：用戶輸入、環(huán)境變量輸入、文件系統(tǒng)輸入、網(wǎng)絡(luò)輸入、進(jìn)程輸入。根據(jù)測(cè)試的級(jí)別不同，可以對(duì)數(shù)據(jù)信息的來(lái)源進(jìn)行裁減。而在這些數(shù)據(jù)源中，環(huán)境變量輸入、文件系統(tǒng)輸入以及進(jìn)程輸入都是本地計(jì)算機(jī)系統(tǒng)的輸入，一般情況下，認(rèn)為其較為可信；而用戶輸入和網(wǎng)絡(luò)輸入由于其用戶的不可控性，認(rèn)為其風(fēng)險(xiǎn)等級(jí)較高。將風(fēng)險(xiǎn)等級(jí)用三維數(shù)組(a,b,c)表示，其中a取值為本地輸入或者外地輸入，b取值為具體的數(shù)據(jù)輸入類(lèi)型，c為風(fēng)險(xiǎn)等級(jí)。所以軟件系統(tǒng)風(fēng)險(xiǎn)等級(jí)列表為：(本地輸入，環(huán)境變量輸入，非常低)；(本地輸入，進(jìn)程輸入，低)；(本地輸入，文件系統(tǒng)輸入，中)；(外部輸入，用戶輸入，高)；(外部輸入，網(wǎng)絡(luò)輸入，非常高)。

(2)需要確定各種用戶訪問(wèn)類(lèi)別。每個(gè)應(yīng)用程序至少都有匿名的訪問(wèn)方式，即使這樣也會(huì)執(zhí)行身份鑒別。但是，雖然這個(gè)用戶要經(jīng)過(guò)身份鑒別，但他和應(yīng)用程序之間的交互是以匿名方式進(jìn)行的。將用戶風(fēng)險(xiǎn)等級(jí)用三維數(shù)組(a,b,c)表示，其中a取值為遠(yuǎn)程用戶或者本地用戶，b取值為具體的用戶類(lèi)型，c為風(fēng)險(xiǎn)等級(jí)。用戶風(fēng)險(xiǎn)等級(jí)列表為：(遠(yuǎn)程用戶，匿名用戶，非常高)；(遠(yuǎn)程用戶，經(jīng)身份鑒別的用戶，中)；(遠(yuǎn)程用戶，具有文件操作能力的遠(yuǎn)程用戶，高)；(本地用戶，具有執(zhí)行權(quán)限的用戶，低)；(本地用戶，管理用戶，非常低)。

(3)繪制軟件系統(tǒng)的頂層帶有交互邊界的數(shù)據(jù)流圖。圖2所示為一個(gè)Web應(yīng)用系統(tǒng)的典型例圖。其中用戶表示進(jìn)程輸入、文件系統(tǒng)輸入、用戶輸入和網(wǎng)絡(luò)輸入的統(tǒng)稱(chēng)，是一種抽象表示，后續(xù)不作特殊說(shuō)明保持不變。

圖2 軟件系統(tǒng)頂層數(shù)據(jù)流交互邊界

(4)根據(jù)軟件實(shí)際結(jié)構(gòu)繪制第0層帶有數(shù)據(jù)交互邊界的數(shù)據(jù)流圖，即抽取出每種操作過(guò)程。通常的基于B/S或者C/S的軟件系統(tǒng)都存在典型的登錄過(guò)程和注冊(cè)過(guò)程，如圖3所示。

(5)確定安全性缺陷可能存在的路徑。安全缺陷路徑使用二維數(shù)組(a,b)表示，其中a表示訪問(wèn)類(lèi)型，b表示可能存在缺陷的交互路徑。安全缺陷可能存在的路徑有如下可能：(匿名遠(yuǎn)程用戶，身份證明信息)；(遠(yuǎn)程用戶，注冊(cè)信息)；(經(jīng)身份鑒別的遠(yuǎn)程用戶，啟動(dòng)信任信息)。

2.2 確定可能存在的軟件安全性缺陷

通過(guò)上一小節(jié)，已經(jīng)確定了安全性缺陷可能存在的路徑，在此基礎(chǔ)上對(duì)多個(gè)數(shù)據(jù)處理進(jìn)程進(jìn)行分解，最終確定可能存在的缺陷。

(1)需要對(duì)第0級(jí)基于數(shù)據(jù)交互邊界的數(shù)據(jù)流圖進(jìn)行分解和詳細(xì)描述，抽取第1層基于數(shù)據(jù)交互邊界的數(shù)據(jù)流圖。根據(jù)圖2，對(duì)用戶登錄過(guò)程進(jìn)行分解，如圖4所示。

圖3 軟件系統(tǒng)第0層數(shù)據(jù)流交互邊界

圖4 登錄過(guò)程的第1層數(shù)據(jù)流交互邊界

(2)基于典型軟件安全性缺陷，對(duì)穿越數(shù)據(jù)交互邊界的數(shù)據(jù)流信息進(jìn)行分析，確定可能存在的缺陷。對(duì)于圖3登錄過(guò)程中可能存在的缺陷為：登錄數(shù)據(jù)信息中包含的安全缺陷為元字符缺陷、命令注入缺陷、鑒別與授權(quán)混淆缺陷、訪問(wèn)控制缺陷；返回?zé)o效用戶數(shù)據(jù)信息可能存在的缺陷為：異常錯(cuò)誤處理缺陷；正確口令信息可能存在的缺陷為：隨機(jī)數(shù)缺陷；登錄失敗數(shù)據(jù)信息可能存在的缺陷為：異常錯(cuò)誤處理缺陷。

3 基于改進(jìn)DREAD模型的軟件安全性缺陷優(yōu)先級(jí)度量

3.1 確定影響軟件安全性缺陷優(yōu)先級(jí)的屬性

DREAD模型是Michael Howard和David Leblanc提出的一種定性度量模型[8-9]，模型是用于分出軟件安全性威脅的嚴(yán)重程度級(jí)別的一種有效技術(shù)。同時(shí)考慮到了威脅的五種屬性：

(1)潛在的破壞性：如果這個(gè)漏洞被利用，產(chǎn)生的破壞程度；

(2)再現(xiàn)性：探測(cè)并利用這個(gè)漏洞需要的時(shí)間；

(3)可利用性：漏洞被利用的可能性；

(4)受影響的用戶：漏洞利用的影響會(huì)有多大；

(5)可發(fā)現(xiàn)性：漏洞被發(fā)現(xiàn)的可能性。

這是一種主觀模糊評(píng)價(jià)模型，當(dāng)需要修補(bǔ)的漏洞較多時(shí)，就根據(jù)模型確定的等級(jí)進(jìn)行。

DREAD模型提出的屬性對(duì)軟件安全性缺陷并不是完全適用，針對(duì)軟件安全性缺陷特點(diǎn)，提取了以下五種軟件安全性缺陷屬性。

(1)普遍性/流行性(prevalence，PE)：也就是缺陷在當(dāng)前同類(lèi)軟件中可能存在的可能性。

對(duì)于普遍性的度量，采用交叉比較的方法：

·相關(guān)漏洞在CWE漏洞數(shù)據(jù)庫(kù)中的排名(CWE Top_25CWE/SANS Top 25 Most Dangerous Programming Errors)。

·軟件安全性缺陷相關(guān)威脅在OWASP威脅數(shù)據(jù)庫(kù)中的排名(OWASP Top_10 Top Ten Cyber Security Menaces for 2008)。

·軟件安全性缺陷相關(guān)漏洞是否在Microsoft已發(fā)布的漏洞數(shù)據(jù)庫(kù)中。

·相應(yīng)軟件安全性缺陷在以往的測(cè)試過(guò)程中出現(xiàn)的次數(shù)。(初始設(shè)為0)

PE分類(lèi)分為4個(gè)等級(jí)：廣泛、高、普通、有限。

廣泛：這種缺陷在實(shí)際項(xiàng)目中最為常見(jiàn)，限制這種類(lèi)型的不超過(guò)四類(lèi)。

高：這種缺陷經(jīng)常會(huì)遇到，但是并不是最常見(jiàn)的。

普通：這種缺陷偶爾也會(huì)在實(shí)際中遇到。

有限：這種缺陷在實(shí)際項(xiàng)目中很少或者幾乎沒(méi)有被發(fā)現(xiàn)過(guò)。

(2)危害性(damage potential，DP)：如果軟件安全性缺陷被非法執(zhí)行，則會(huì)對(duì)軟件系統(tǒng)或者用戶的使用產(chǎn)生的破壞程度；危害等級(jí)包含：關(guān)鍵、高、中等及低。

關(guān)鍵：這種缺陷的危害等級(jí)最高，所以應(yīng)該立即進(jìn)行修正。如果這種缺陷被非法利用，則會(huì)造成嚴(yán)重的破壞。在選擇或者相互比較確定典型缺陷列表時(shí)，通常設(shè)定危害等級(jí)為關(guān)鍵的一般限制在四個(gè)以?xún)?nèi)。

高：這種缺陷的危害等級(jí)也是很高，但是相對(duì)于關(guān)鍵類(lèi)型較低。

中等：這種缺陷也是一定要上報(bào)的，但是并不是非常緊要的。

低：這種缺陷不一定需要上報(bào)，或者并不需要進(jìn)行及時(shí)的修改。

(3)可探測(cè)性(detectable，DE)：軟件中軟件安全性缺陷可能被非法用戶探測(cè)到的可能性，容易探測(cè)到，意味著缺陷容易被利用，容易產(chǎn)生攻擊?？商綔y(cè)性等級(jí)包含：容易、一般及困難。

容易：已存在自動(dòng)化工具或者技術(shù)可以自動(dòng)化探測(cè)缺陷，或者通過(guò)簡(jiǎn)單的操作就可以被發(fā)現(xiàn)。

一般：僅僅通過(guò)自動(dòng)化工具或者成熟技術(shù)不能發(fā)現(xiàn)缺陷，軟件安全性缺陷的探測(cè)可能需要對(duì)程序的邏輯結(jié)構(gòu)有一定的了解；或者通過(guò)現(xiàn)有的攻擊工具，只能在少數(shù)情況下發(fā)現(xiàn)缺陷。

困難：發(fā)現(xiàn)這種缺陷需要花費(fèi)大量的時(shí)間、手工執(zhí)行的方法，以及智能的半自動(dòng)化工具的支持和專(zhuān)業(yè)的攻擊技術(shù)。

(4)影響用戶級(jí)別(affected users，AU)：軟件安全性缺陷影響到用戶的級(jí)別，影響的用戶分別包含：管理員、多個(gè)普通用戶、特殊配置用戶(單個(gè))及Guest用戶。

管理員：缺陷被非法利用時(shí)，管理員以及大部分用戶的正常使用受到影響甚至限制，系統(tǒng)處于癱瘓狀態(tài)。

多個(gè)普通用戶：缺陷一旦被利用，多種普通用戶(如圖書(shū)館信息系統(tǒng)中除管理員外的VIP用戶，一般學(xué)生會(huì)員，圖書(shū)信息上載員，圖書(shū)信息審核員等)的使用受到嚴(yán)重影響，但是系統(tǒng)管理員的基本使用功能可以正常進(jìn)行。

特殊配置用戶(單個(gè))：這種缺陷一旦被利用，則不會(huì)影響大多數(shù)類(lèi)型的用戶，往往只能影響到特殊類(lèi)型用戶。如圖書(shū)館信息系統(tǒng)中一般的學(xué)生會(huì)員的借閱，或者圖書(shū)信息員的上載。這種缺陷和上一級(jí)區(qū)別別在于，這種缺陷被非法利用，只會(huì)影響到一種除管理員以外的任何用戶的正常使用，而不會(huì)同時(shí)影響多個(gè)類(lèi)型用戶。

Guest用戶：這種缺陷被非法用戶利用，則只會(huì)影響到類(lèi)似Guest用戶的使用，或者匿名用戶的使用。

(5)可靠性(reliability，RE)：軟件安全性缺陷被非法用戶利用后產(chǎn)生的結(jié)果的可預(yù)期性。按照缺陷后果可分為4個(gè)等級(jí)：危險(xiǎn)、一般、受限及低。

危險(xiǎn)：非法用戶利用軟件安全性缺陷使用相同的方法，多次執(zhí)行相同的攻擊用例，可以產(chǎn)生相同的結(jié)果。這種缺陷對(duì)于軟件系統(tǒng)來(lái)說(shuō)，一旦被非法用戶發(fā)現(xiàn)，就容易多次重復(fù)攻擊。

一般：相對(duì)于上一級(jí)，這種缺陷被非法用戶發(fā)現(xiàn)后，如果非法用戶需要重復(fù)攻擊行為，需要重新對(duì)攻擊場(chǎng)景進(jìn)行一定的修改。

受限：這種缺陷被非法用戶發(fā)現(xiàn)后，如果非法用戶需要重復(fù)攻擊行為，則需要一定的輔助攻擊手段或其他資源。

低：對(duì)于這種缺陷，測(cè)試人員基本可以忽略，因?yàn)榫退惴欠ㄓ脩粼?jīng)利用這種缺陷對(duì)軟件系統(tǒng)進(jìn)行了攻擊，但是缺陷被重復(fù)利用的可能性極低，甚至只是理論上。

這種分級(jí)模型考慮到的影響因素都是定性因素，只能對(duì)缺陷進(jìn)行定性判斷，為了定量分析優(yōu)先級(jí)，得到軟件安全性缺陷優(yōu)先級(jí)影響因素度量表，如表1所示，分別設(shè)定相應(yīng)的定量權(quán)值為4、3、2、1。

3.2 軟件安全性缺陷優(yōu)先級(jí)(PRI)的計(jì)算

通過(guò)表1可以確定軟件安全性缺陷各個(gè)影響因素的標(biāo)度值，考慮到不同的被測(cè)件對(duì)這些影響屬性的要求不同，所以設(shè)每種屬性的權(quán)重集為W：

W=(WPE,WDP,WDE,WAU,WRE)

影響因素集為F：

所以可得PRI：

PRIi=WDPPEi+WOPDPi+WRPDEi+WAUAUi+WREREi

其中，i表示軟件安全性缺陷的編號(hào)。

4 結(jié)束語(yǔ)

軟件安全性缺陷測(cè)試需求獲取與定位為測(cè)試人員提供了一種獲取軟件安全性缺陷的手段及方法。利用軟件安全性缺陷測(cè)試需求獲取與定位方法，測(cè)試人員能快速提取到相關(guān)軟件潛在的缺陷，并對(duì)潛在的缺陷進(jìn)行優(yōu)先級(jí)排序，從而能夠更充分及更快速地發(fā)現(xiàn)軟件安全性缺陷。