在软件质量这个行当里，应用安全专家Dan Cornell认为有两个问题的严重性是超过了其它问题的。一个问题是信息安全官、软件质量保证人员及应用开发者之间相互脱节。二是各种安全测试工具之间缺乏集成。最重要的是，Cornell说，这两个因素让应用开发者看不到重大安全漏洞，也无法修补它们。这就是为什么Cornell要创办ThreadFix这个开源软件漏洞聚合器及管理系统的原因。

Denim Group总部位于德克萨斯州圣安东尼奥市，是一家为客户提供咨询并研究和开发新的应用安全工具与方法的软件公司。Cornell就是在担任该公司负责人时展开这一努力的。Cornell对安全测试工具集成的研究最近让Denim Group获得了美国国土安全部的资助，让其进行混合分析映射技术的研究。

HAM项目

据国土安全部科学技术董事会网络安全部的项目经理Kevin Greene说，混合分析映射（HAM）项目最重要的目标是同化不同形式的安全测试。应用安全测试包括独立评估活动，如渗透测试、静态代码分析及动态代码分析等。“让我们把所有这些都结合进一个风险管理框架里面，让它以一种一致的、有意义的方式来展示漏洞，”Greene说。

研究表明，任何一种工具单独使用时最多能够发现软件系统及应用中的14%到17%的缺陷及漏洞。对于Greene来说，该项目的关注点之一，就是要将现有的商业安全工具与尚未达到商业安全套件的广度与深度的新兴开源可替代品合并起来。“尽管开源工具也许价值比不上商业工具，但它们肯定是有价值的，”Greene说：“让我们看看是否能够利用每一种工具的优势来改善结果的精确度。”

混合分析并非无足轻重

据Greene说，对于从事HAM的研究者来说，其中一个重大挑战是每一种工具都在用不同的方式来表示缺陷。它们有不同的输出。因为工具不同，漏洞数据可以输出为.CSV、文本、.xml等其他可能的文件类型。“什么样的标准化点才能有效将这一非结构化数据从这些工具中关联起来？”Greene问道：“如果我们能够拿到这个东西，那么我们就能真正实现一部分威胁管理流程的自动化；然后我们将能够通过更好的漏洞关系情景进行更严格的测试。”

据Cornell说，安全测试标准化工具目前多少还存在限制。不同的测试工具迎合的是不同的问题之需，因此也会以不同的方式展现结果。比方说，Cornell说静态代码分析的方法就不同于动态代码分析的工作方式。现在，标准化工具能够精确匹配若干不同的静态代码工具，或者也能将几个不同的动态工具匹配到一起。

尽管如此，在将静态工具与动态工具进行匹配并提供既精确又相关的结果时，当前的工具有可能会陷入困境。Cornell说，ThreadFix项目已经“在做粗相似值的混合分析，”他对“现在我们有机会找到非常复杂的办法来做到这一点”感到非常兴奋。

如果成功的话，HAM项目将会被添加到DHS的软件保证市场（SWAMP）中。“SWAMP对于改善我们的软件开发能力来说会是一个非常好的研究基础设施，”Greene说：“我们正在用SWAMP的软件保障进行非常令人兴奋的事情。”

HAM项目的第一阶段包括资助Denim Group以及另两家执行者—纽约的安全决策公司North Port，以及弗吉尼亚州赫尔登的Data Access Technologies。Greene预计一阶段将会在今年9月末或10月初完成。然后，一阶段的三个执行者之一将会继续第二阶段，还有可能进入第三阶段。

阶段一应该能看到HAM研究实现技术就绪水平（TRL），即概念是可行的，并能显现出价值。阶段二可让研究者用2年的时间让技术上升到更加成熟的TRL（TRL 4或TRL 6），能在可操作环境中有效示范。阶段三应该将TRL提升到7以上，即系统可发布使用。

请继续关注安全测试研究之软件需持续改进