Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
OpenHarmony
Docs
提交
dc3fb2b6
D
Docs
项目概览
OpenHarmony
/
Docs
1 年多 前同步成功
通知
159
Star
292
Fork
28
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
0
列表
看板
标记
里程碑
合并请求
0
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
D
Docs
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
0
Issue
0
列表
看板
标记
里程碑
合并请求
0
合并请求
0
Pages
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
提交
Issue看板
未验证
提交
dc3fb2b6
编写于
11月 29, 2022
作者:
N
neu_azhe
提交者:
Gitee
11月 29, 2022
浏览文件
操作
浏览文件
下载
电子邮件补丁
差异文件
update zh-cn/contribute/OpenHarmony-security-test-guide.md.
完善安全测试规范 Signed-off-by:
N
neu_azhe
<
lixinzhe@huawei.com
>
上级
ee3914ba
变更
1
隐藏空白更改
内联
并排
Showing
1 changed file
with
25 addition
and
11 deletion
+25
-11
zh-cn/contribute/OpenHarmony-security-test-guide.md
zh-cn/contribute/OpenHarmony-security-test-guide.md
+25
-11
未找到文件。
zh-cn/contribute/OpenHarmony-security-test-guide.md
浏览文件 @
dc3fb2b6
# OpenHarmony安全测试规范
# OpenHarmony安全测试规范
本文档主要参考业界安全测试标准和最佳实践,提供OpenHarmony安全测试规范,用于指导开发人员/测试人员进行安全测试。
## 1 安全测试内容
1、各模块依据
[
OpenHarmony C&C++安全编程指南
](
OpenHarmony-c-cpp-secure-coding-guide.md
)
,进行代码安全检视,检视问题均需要修复。
2、通过OpenHarmony代码门禁安全扫描工具测试,扫描告警结果清零。
3、依据
[
OpenHarmony编译规范
](
https://gitee.com/openharmony/community/blob/master/sig/sig-buildsystem/编译规范.md
)
,使用编译选项扫描工具检查二进制文件编译选项开启情况,二进制文件编译选项均需要符合规范要求。
4、针对接收并处理用户态参数模块,开发人员需依据
[
Fuzz测试框架
](
https://gitee.com/openharmony/test_developertest/tree/master/libs/fuzzlib
)
开发灰白盒Fuzz测试套,并完成灰白盒Fuzz测试验证。
5、针对开源组件使用业界漏洞扫描工具扫描,开源组件漏洞均已按照社区漏洞管理流程修复。
## 安全编码测试
6、针对发布版本进行一致性验证,在
[
版本发布网站
](
../release-notes/Readme.md
)
中检查版本镜像是否提供SAH256校验码。
1、各模块依据
[
OpenHarmony安全编码规范
](
https://gitee.com/openharmony/docs/blob/master/zh-cn/contribute/OpenHarmony-c-cpp-secure-coding-guide.md
)
,进行代码安全检视
。
7、各模块依据
[
OpenHarmony安全设计规范
](
OpenHarmony-security-design-guide.md
)
,结合业务完成安全设计自检验证,自检设计问题均需要修复
。
2、使用安全编码扫描工具扫描测试,扫描告警结果清零。OpenHarmony代码门禁已集成安全编码扫描工具
。
8、使用主流病毒扫描软件扫描软件包,病毒扫描结果均修复或确认为工具误报
。
9、在代码中搜索“.cer”、“.pem”等证书秘钥格式或者“PRIVATE KEY”等证书秘钥证书关键词找到证书秘钥,检查证书秘钥是否在有效期内,加密算法是否符合
[
加密算法要求
](
OpenHarmony-security-design-guide.md#3加密
)
,证书秘钥问题均需要修复。
## 安全设计验证
10、针对暴露用户态接口进行黑盒Fuzz,包括但不限于系统服务接口、内核驱动接口、socket网络接口。
1、各模块依据
[
OpenHarmony安全设计规范
](
https://gitee.com/openharmony/docs/blob/master/zh-cn/contribute/OpenHarmony-security-design-guide.md
)
,结合业务完成安全设计自检验证
。
>说明:上述要求不区分继承特性及新需求
。
## 2 安全测试完成要求
版本发布前需进行安全测试,安全测试完成标准如下:
## 安全测试工具扫描
1、上述章节中各项安全测试内容执行完成。
1、针对高风险模块,开发人员需要依据
[
Fuzz测试框架
](
https://gitee.com/openharmony/test_developertest/tree/master/libs/fuzzlib
)
开发灰白盒Fuzz测试套,并完成灰白盒Fuzz测试
。
2、安全问题均已关闭
。
2、针对暴露用户态接口进行黑盒Fuzz,包括但不限于系统服务接口、内核驱动接口、socket网络接口。
## 3 安全测试报告模板
3、依据
[
OpenHarmony编译规范
](
https://gitee.com/openharmony/community/blob/master/sig/sig-buildsystem/%E7%BC%96%E8%AF%91%E8%A7%84%E8%8C%83.md
)
,使用编译选项扫描工具检查文件编译选项开启
情况。
1、安全测试报告需包含第1章节安全测试各项结果,需包含未关闭安全问题
情况。
4、针对开源组件使用业界漏洞扫描工具扫描,开源组件漏洞均已按照社区漏洞管理流程修复。
\ No newline at end of file
2、版本安全测试报告无需单独发布和归档,随版本整体测试报告发布。
\ No newline at end of file
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录