软件文档作为软件产品的组成部分，需与相关程序测试一并进行审查，确保软件文档之间、软件 文档与程序之间保持一致、正确。文档审查的主要对象包括系统需求规格说明、系统设计说明、软件 需求规格说明、软件概要设计说明和软件详细设计说明

6.2系统需求规格说明审查

系统需求规格说明审查一般应包括以下安全相关内容： a 是否列出了当系统的功能未达到实时要求时的所有潜在威胁； 注：附录A列出了一些常见的威胁。 b 是否分析了所有潜在威胁的原因和条件； c) 是否对所有潜在的威胁进行了风险评估吊环标准，包括对威胁的严重性和发生的可能性进行的评估： d) 是否确定了所有潜在威胁的可容忍风险水平； e) 对于高于可容忍风险水平的威胁，是否考虑了如何通过对系统功能需求的修改来消除或控制 威胁； 对于高于可容忍风险水平的威胁，是否通过系统体系结构设计对威胁进行了消除或控制。可 采取的威胁控制方法包括： 1 提供故障容错能力。例如，提供穴余； 2） 提供失效处理机制进行自动的故障隔离。例如，停止威胁功能、人工干预、增加一个运 行周期； 安装安全性设备； 安装警告和报警设备； 5） 拟定行政管理性的控制，包括专门规程。 是否已将所有未达到实时要求时可能发生威胁的系统功能标记为安全功能； h 是否已将可能影响安全功能的系统功能标记为安全功能。可能影响安全功能的系统功能一般

DB44/T15582015

DB44/T15582015

6.3系统设计说明审查

系统设计说明审查一般应包括以下安全相关内容： a）审查系统的设计决策主要包括： 1）与其他系统、配置项和用户的接口是否提出安全性考虑； 2）每个输入或条件进行响应的系统行为是否提出不允许的输入或条件的处理要求； 3）是否对嵌入式软件与相关硬件或软件系统设计和构造适配做出安全性考虑。 审查系统结构设计是否将所有安全功能、接口的安全要求、数据的安全要求等分配给了指定 的硬件、软件和人工操作项； C 审查系统运行设计是否明确： 初始化过程的安全性处理； 2） 系统运行对各种不同条件及运行模块组合及每种运行所历经的内部模块和支持软件有关 安全性考虑： 3 说明每种运行模块组合将占用各种资源对安全性的可能影响； 对安全需求的系统运行安全控制考虑； 5 系统运行结束对安全性考虑。 d）是否进行了系统需求规格说明其他需求与安全性相关的分析

6.4软件需求规格说明审香

软件需求规格说明审查一般应包括以下安全相关内容： 审查安全性需求（包括安全功能及其相应的完整性级别）是否能溯源到分配给软件的系统安 全性需求，显示对于系统安全性需求的依从性； b 审查安全性需求是否已经完整地规定了分配给软件的系统安全性需求； C 审查软件需求规格说明是否将可能影响安全功能的软件功能标记为安全功能并确定其完整性 级别； d 审查软件需求规格说明中安全功能的完整性级别的组合能否满足系统设计说明中分配给软件 的安全功能的完整性级别要求； e 审查安全性需求是否考虑了以下内容： 1 对硬件错误进行检测、通告和管理； 对软件本身的错误进行检测、通告和管理： 3） 对安全功能定期进行检测： 4） 采取合理的防止误触发的保护措施； 对硬件、软件和外部设备的失效进行处理。 f审香软件需求规格说明是否明确了

DB44/T15582015

g）审查软件需求规格说明是否明确 具有实时要求的安全功能的执行时间要求； 审查软件需求规格说明是否明确了实时嵌入式软件对CPU、存储器和I/O通道等资源的使用要 求； 1 审查安全性需求是否具有设计和实现的可行性； ） 审查安全性需求是否具有可测试性； k 审查安全性需求是否清晰准确； 1 审查安全性需求自身是否保持一致； m 审查软件需求规格说明中其他需要审查的内容

6.5软件概要设计说明审查

软件概要设计说明审查一般应包括以下安全相关内容： a 是否能溯源到软件需求规格说明中的安全功能，显示对于软件安全性需求的依从性： 是否将软件需求规格说明中的所有安全功能分配给了指定的软件部件； 是否将可能影响安全功能的软件部件功能标记为安全功能； d 是否确定了软件部件中所有安全功能的完整性级别； e） 安全功能的完整性级别的组合能否满足软件需求规格说明中安全功能的完整性级别要求； f 是否考虑了以下安全相关内容： 1 将安全功能与非安全功能进行隔离 2）考虑容错、避错、穴余和多样性的设计策略； 3） 使用奇偶校验或CRC校验确保数据传输的正确性。 g 安全相关软件部件的接口是否安全； h） 是否确定了安全相关软件部件的设计约束； 1 是否选择了合适的软件支持工具和编程语言； 是否为安全相关软件部件制定了合适的安全编码标准； k 是否已将安全功能的执行时间要求合理地分配到各软件部件； 1 是否考虑了采用实时嵌入式操作系统，采用的实时嵌入式操作系统的安全机制能否满足软件 安全性需求； m） 若采用的实时嵌入式操作系统为多任务操作系统，是否能保证安全功能的执行时间不会因其 它任务的影响而超时： n 是否考虑了所有可能影响安全功能执行时间的因素，在最坏的情形下安全功能的执行时间是 否能满足要求； 0 CPU、存储器和I/O通道等资源能否满足各软件部件的资源要求； P 若采用的实时嵌入式操作系统为多任务操作系统，是否能保证安全功能需要的CPU、存储器和 I/0通道等资源不会因其它任务的资源占用而导致不足 Q 审查对安全相关软件部件进行详细设计的可行性； 安全性设计是否易于验证和确认； S） 安全性设计在现有技术条件下是否能按时实现： 七 安全性设计是否清晰准确； u 安全性设计自身是否保持一致； V 其他需要审香的内容。

6.6软件详细设计说明

软件详细设计说明审查一般应包括以下安全相关内容

DB44/T15582015

a 安全功能是否能溯源到软件概要设计说明中的安全功能，显示对于软件概要设计说明的依 性； b） 是否将软件部件的所有安全功能分配给了指定的软件单元； C 是否将可能影响安全功能的软件单元功能标记为安全功能； d 是否确定了软件单元中所有安全功能的完整性级别； e 安全功能的完整性级别的组合能否满足软件概要设计说明中安全功能的完整性级别要求； 安全相关软件单元的接口是否安全： g 是否确定了安全相关软件单元的设计约束； h 安全性设计是否满足模块化要求； i） 是否已将安全功能的执行时间要求合理地分配到各软件单元； 审查CPU、存储器和I/O通道等资源能否满足各软件单元的资源要求； k） 安全功能是否具有编码的可行性； 1） 安全性设计是否易于验证； m 安全功能的算法是否安全： n 安全功能的算法的复杂度是否满足要求： 安全性设计是否清晰准确； P 安全性设计自身是否保持一致； q 其他需要审查的内容。

对实时嵌入式软件的源代码进行安全性测试主要采用静态测试方法，包括代码审查、代码走查 奋分析。

实时嵌入式软件安全性测试的代码审查主要对安全功能的源代码进行人工审查。审查人员在阅读 安全功能的源代码和相关材料时，对照代码检查单进行检查，记录发现的安全性问题。代码审查的内 容包活： 是否能溯源到软件需求，以显示对于软件需求的依从性； b 是否覆盖了软件安全性需求和软件设计的要求，软件安全性需求已经完整地由相应的代码实 现； ） 软件代码是否与软件详细设计、软件概要设计、软件安全性需求和系统安全性需求的外部 致，以及软件代码的内部一致性； d 安全性功能的代码是否满足模块化、可验证、易安全修改的要求； e） 是否符合设计活动中对于语言和编码标准的要求； ） 是否基于或限于定义清晰的符号，源代码是否可读、易理解和标准化； g 是否充分注解安全相关的代码；是否对安全性相关代码加以适当注解，以降低未来因代码变 更而引起威胁状态的可能性； ） 软件编码中使用的技术和方法的合理性； 安全处理机制算法是否正确； ）在使用有看门狗的芯片时是否定时清看门狗：

实时嵌入式软件源代码中其他安全相关的内容。

DB44/T15582015

7.4.1测试内容和方法

7.4. 1.1静态结构分析

实时嵌人式软件安全性测试的静态 系图。静态结构分析人员应将控制 式软件的概要设计说明和详细 设计说明进行比较，验证实时嵌入 和详细设计的要求

7.4.1.2代码安全缺陷测试

实时嵌人式软件的代码安全缺陷测试宜先采用自动化测试工具对安全功能相关的源代码进个 然后对扫描结果进行人工分析，筛除误报的安全缺陷。代码安全缺陷测试的内容可参见附录B

7.4.1.3编码标准测试

实时嵌入式软件的编码标准测试应采用自动化测试工具扫描的方式对实时嵌入式软件的安全功 码进行检查，验证安全功能源代码是否符合软件概要设计说明中规定的安全编码标准要求。 注：C语言编码标准测试的详细内容可参考GB/T28169

7.4.2.1测试运行环境

静态分析可在开发支持环境中进行，也可脱离开发支持环境独立进行，这取决于所选择的静态 具。

7.4.2.2测试工具环境

静态分析的测试工具应满足以下要求： a 测试工具的功能和性能应满足静态分析的要求； b) 测试工具应支持被测源代码的开发语言； C） 测试工具的静态分析规则库应覆盖被测实时嵌入式软件需要测试的安全缺陷和编码规则； d 测试工具测试安全缺陷和编码规则的准确性应满足静态分析的要求，

对实时嵌入式软件的可执行代码进行安全性测试宜从实时要求最高的安全功能开始进行测试，

DB44/T15582015

包括以下测试内容： a）测试安全功能是否正确实现； b 分析所有可能影响实时嵌入式软件安全功能的执行时间的因素并对这些因素进行调整，测试 在最坏的情形下安全功能的执行时间是否满足实时要求，可能影响安全功能执行时间的因素 包： 1） 硬件配置，包括CPU、存储器、寄存器、I/O通道、网络带宽等： 2） 软件配置，包括操作系统、数据库、应用软件等的参数配置； 3） 数据大小，包括实时数据和历史数据的大小； 4 物理环境，如带温度、湿度等传感器的实时嵌入式系统容易受外部物理环境变化的影响； 5） 与实时嵌入式软件共享相同运行环境的其他系统或软件的配置； 应用业务，业务处理或实体之间交互等方面的峰值。 c） 测试安全功能在长时间运行后执行时间是否仍然能满足实时要求； d) 测试对安全功能的实时性进行监控的功能是否正确运行； e） 测试安全功能的执行时间不满足实时要求时，报警和失效处理功能是否正确运行； f） 测试安全功能发生时序错误时，报警和失效处理功能是否正确运行； g 测试CPU、存储器、I/O通道、网络带宽等资源是否满足安全功能的使用要求，包括： 1 分析所有共享相同资源的功能、软件和系统其他要素，测试在最坏的情形下是否仍然能 保证安全功能的资源使用要求； 2 测试所有共享相同资源的功能、软件和系统其他要素在使用资源后是否及时释放了资源； 3 测试是否存在资源竞争导致的死锁； 4 测试实时嵌入式软件的资源是否能够满足未来数据增长的要求。 h 在不同的目标硬件平台环境中分别对实时嵌入式软件的安全功能进行测试，验证其在不同的 目标硬件平台环境中是否均满足安全要求； i 测试安全功能中其他需要测试的内容

可执行代码安全性测试的测试方法要求如下： a 应采用黑盒测试方法对可执行代码进行安全性测试。黑盒测试方法一般包括功能分解、等价 类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法和正交实验法等； b） 对于每一个安全功能或操作流程，应至少设计一个正常测试用例和一个异常测试用例； C 对于每一个安全功能的输入数据，应划分有效等价类和无效等价类； d 对于连续的输入数据，应测试其内边界值、边界值和外边界值； e 应设计用例对安全功能的约束条件的组合和极端条件进行测试

8.3.1测试运行环境

可执行代码测试的测试运行环境可包括仿真环境和真实环境。仿真环境可为软仿真环境或硬仿真 环境。真实环境应根据实时嵌入式系统设计的运行环境考虑一些特殊的物理环境，如高温、极寒、潮 显或水下环境。一般情况下，实时嵌入式软件的安全功能测试宜在仿真环境下进行，与真实环境硬件 相关的安全功能测试以及安全功能的实时性测试应在真实环境中进行

8.3.2测试工具环境

DB44/T15582015

可执行代码测试可考虑选择以下类型的测试工具： a）支持执行测试用例和评价测试结果的工具，包括支持选择测试用例、设置环境、运行所选择 测试、记录执行活动、故障分析和测试工作有效性评价等。此类测试工具通常提供软仿真环 境进行测试； b 支持测试计划、测试设计和整个测试过程的工具； 通过计算机控制实时嵌入式软件可执行代码在硬件上运行的工具； d）其它辅助测试工具，如对声音、光或信号进行检测的工具

可执行代码测试可考虑选择以下类型的测试工具： 支持执行测试用例和评价测试结果的工具，包括支持选择测试用例、设置环境、运行所选择 测试、记录执行活动、故障分析和测试工作有效性评价等。此类测试工具通常提供软仿真环 境进行测试； b 支持测试计划、测试设计和整个测试过程的工具； 通过计算机控制实时嵌入式软件可执行代码在硬件上运行的工具； d）其它辅助测试工具，如对声音、光或信号进行检测的工具

DB44/T15582015

表A. 1一般威胁检查表

广场标准规范范本DB44/T15582015

DB44/T 15582015

B.1代码安全缺陷测试内容

DB44/T15582015

以下是一个推荐的代码安全缺陷测试内容，可以根据实际项目对其内容进行增册 a）程序注入类 1)SQL注入; 2）食 命令注入； 3） 资源注入： 4） 环境变量注入； 数据库连接字符串注入。 b) 数据篡改类 参数篡改； 2） 配置篡改； 3） 文件篡改； 4） 网络传输数据篡改。 C) 数据加密类 1） 硬编码密码； 2） 采用过时的加密算法； 3） 密钥长度不足； 4） 敏感数据未加密。 d) 内存管理类 1） 使用已释放的内存： 2) 重复释放内存； 3) 缓冲区溢出； 4) 分配内存与释放内存的函数不匹配； 5) 内存泄露； 6) 释放非堆内存； 7） 释放未分配的内存； 8） 分配的内存大小与类型大小不一致。 e) 资源管理类 1） 资源泄漏； 2) 使用已释放的资源。 f 指针使用类 1）空指针解引用； 2） 将局部变量的地址赋值给外部指针； 3 指针转换过程中丢失指针的const、volatile属性。 g 控制语句类 1） 用于控制程序流程的条件表达式为常量； 2）非空的switchcase子句未以break语句结束。

DB44/T15582015

电气标准规范范本h）运算处理类 1）浮点数的相等或不等比较； 除数为0; 3）对布尔表达式进行算术运算。 i 变量使用类 1）使用未初始化的变量； 2）变量赋值后未被使用

DB44/T15582015