軟件安全性是一個(gè)廣泛而復(fù)雜的主題，每一個(gè)新的軟件總可能有完全不符合所有已知模式的新型安全性缺陷出現(xiàn)，要避免因安全性缺陷問(wèn)題受各種可能類型的攻擊是不切實(shí)際的，在軟件安全測(cè)試時(shí)，運(yùn)用一組好的原則來(lái)避免不安全的軟件上市、避免不安全軟件受攻擊，就顯得十分重要。

最受歡迎的軟件測(cè)試工具有哪些？

1.從總體看，（靜態(tài)的）代碼分析工具和（動(dòng)態(tài)的）滲透測(cè)試工具應(yīng)用還是比較普遍，超過(guò)60%，而且滲透測(cè)試工具（73.68%）略顯優(yōu)勢(shì)，高出10%；模糊測(cè)試工具，可能大家感覺(jué)陌生，低至16%，但它在安全性、可靠性測(cè)試中還是能發(fā)揮作用的；從理論上看，代碼分析工具應(yīng)該能達(dá)到95%以上，因?yàn)樗子茫野踩砸呀?jīng)是許多公司的紅線，得到足夠重視；希望以后各個(gè)公司能夠加強(qiáng)代碼分析工具和模糊測(cè)試工具的應(yīng)用。

2.Java代碼安全性分析工具前三名是：IBMAppScanSourceEdition（42.11%）、FotifyStaticCodeAnalyzer（36.84%）、Findbugs（26.32%）。

3.C/C++代碼安全性分析工具前三名是：C++Test（38.89%）、IBMAppScanSourceEdition（38.89%）、FotifyStaticCodeAnalyzer（27.78%）、VisualStudio（27.78%）；可能LDRATestbed比較貴，關(guān)鍵的嵌入式軟件采用比較多，所以沒(méi)有進(jìn)前三。

4.Java代碼安全性分析工具應(yīng)用最多的是Google'sClosureCompiler，其次是JSHint，也有的公司用Coverity來(lái)進(jìn)行JS的代碼分析。

5.Python代碼安全性分析工具應(yīng)用最多的是Pychecker，其次是PyCharm，而Pylint使用比較少，也有幾個(gè)公司用Coverity來(lái)進(jìn)行Python的代碼分析。

6.Web應(yīng)用安全性測(cè)試的商用工具中，IBMAppScan異軍突起，高達(dá)70%的市場(chǎng)，其它商用工具無(wú)法與它抗衡，第2名SoapUI和它差距在50%以上，HPwebInspect不到10%。

7.Web應(yīng)用安全性測(cè)試的開(kāi)源工具中，F(xiàn)irebug明顯領(lǐng)先，將近50%，比第2名OWASPZAP高12%，第三名是FirefoxWebDeveloperTools，超過(guò)了20%。

8.AndroidApp的安全性測(cè)試工具中，AndroidTamer領(lǐng)先，將近30%，比第2、3名AndroBugs、Mobisec、Santoku高15%左右。

9.網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具中，Wireshark遙遙領(lǐng)先，超過(guò)70%。其次就是Tcpdump、BurpSuite，占30%左右；網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具挺多的，但從這次調(diào)查看，越來(lái)越集中到幾個(gè)工具中，特別是Wireshark功能強(qiáng)，覆蓋的協(xié)議比較多，深受歡迎。

10.SQL注入測(cè)試工具排在前三位的：SQLInjector、SQLPowerInjector、OWASPSQLiX，三者比較接近，差距在6%左右。其它兩項(xiàng)工具Pangolin、SQLSqueal也占了10%。

總結(jié)：

這些工具將安全測(cè)試員從手動(dòng)審核的工作中解放出來(lái)，它們也使審核的過(guò)程變得更為快速有效；執(zhí)行有力的安全測(cè)試評(píng)估并不意味著簡(jiǎn)單地從列表中選擇一個(gè)工具，相反，它意味著評(píng)估組織結(jié)果，以及評(píng)估信息、要求和所涉及的利益相關(guān)者，這個(gè)過(guò)程將有助于構(gòu)建一個(gè)理想的策略，包括使用工具來(lái)有效和高效地識(shí)別和解決安全漏洞。