軟件安全接觸點主要包括哪些方面

軟件安全接觸點主要包括以下方面：

• 濫用用例設計：濫用用例也稱為誤用用例，通過設計濫用用例可以更準確地描述系統在受到攻擊時的行為表現：應該保護什么、免受誰的攻擊，以及保護多長時間。

• 安全需求分析：在安全開發的需求分析階段應當充分考慮安全方面的需求，一般，安全需求包括功能需求和異常處理需求。功能安全需求如數據加密、隱私保護和訪問控制等，而異常處理安全需求包括軟件異常處理、惡意攻擊處理等。

• 風險分析：體系結構設計中應進行風險分析，確定可能的攻擊，并提供一致的安全防護措施。安全分析人員應通過風險分析揭示體系結構存在的風險和瑕疵，對它們評級，并開始進行降低風險的活動。

• 代碼審核：在代碼審核中，關注的焦點是實現缺陷，如在代碼中發現緩沖區溢出。代碼審核可以使用商業或免費工具。然而，即使是最好的代碼審核也只能發現大約50%的安全問題，而體系結構瑕疵則是真正棘手的問題。實現軟件安全的完整方法是代碼審核和體系結構分析的有機組合。

• 基于風險的安全測試：功能測試能夠告訴軟件開發人員是否實現了其功能設計，安全測試會告訴軟件開發人員該功能設計能否正確而安全地實現。安全測試必須包含兩種策略。

• 滲透測試：滲透測試可以評估真實運行環境中軟件的安全性，結合體系結構風險分析來設計滲透測試效果會更好。因為，像攻擊者一樣考慮問題，并且來指導安全測試是極為重要的。

• 安全操作：要求軟件公司不同部門、不同職位人員之間進行密切合作和協同一致的工作，在實踐中可以在應用上述接觸點時互相配合工作。

回答所涉及的環境：聯想天逸510S、Windows 10。