受委托人的委托，深圳市一航網(wǎng)絡(luò)信息技術(shù)有限公司（以下簡(jiǎn)稱“一航網(wǎng)絡(luò)”）組建了《xx軟件》測(cè)試工作組（以下簡(jiǎn)稱“工作組”），于2021年05月18日至2021年05月21日對(duì)《xx軟件》進(jìn)行了產(chǎn)品在功能和安全性上的確認(rèn)性測(cè)試。

       本報(bào)告主要針對(duì)xx客戶端軟件包本身的安全性和測(cè)試傳輸過(guò)程的安全性的功能模塊進(jìn)行了詳細(xì)測(cè)試。本報(bào)告是在完成《xx軟件》在功能性和安全性方面的測(cè)試后，對(duì)測(cè)試記錄深入分析的基礎(chǔ)上，客觀的描述與判斷被測(cè)軟件存在的缺陷。

      本次測(cè)試主要針對(duì)xx軟件包本身的功能和安全性，以及在測(cè)試傳輸過(guò)程的安全性進(jìn)行了詳細(xì)測(cè)試。本次測(cè)試共檢測(cè)了軟件4個(gè)功能和安全測(cè)試點(diǎn)，測(cè)定值基本符合安全要求，系統(tǒng)可靠，無(wú)嚴(yán)重問(wèn)題，可正常使用。具體見(jiàn)《測(cè)試結(jié)果》。

測(cè)試范圍

本次軟件測(cè)試主要涉及以下幾方面：

       1、軟件客戶端本身的安全性；

       2、基于軟件的境外網(wǎng)站訪問(wèn)；

       3、數(shù)據(jù)傳輸過(guò)程交互數(shù)據(jù)抓包分析；

       4、沙箱測(cè)試數(shù)據(jù)傳輸是否存在異常行為。

測(cè)試用例通過(guò)情況概述

      ①?gòu)能浖蛻舳说淖陨戆踩院蛡鬏斶^(guò)程的安全性看，未發(fā)現(xiàn)軟件客戶端攜帶木馬。

      ②在360隔離沙箱測(cè)試中，未發(fā)現(xiàn)軟件戶端數(shù)據(jù)傳輸過(guò)程中有釋放、下載或上傳任意文件行為，未發(fā)現(xiàn)其有修改注冊(cè)表、修改安全策略等系統(tǒng)安全設(shè)置的行為，未發(fā)現(xiàn)其有對(duì)外釋放網(wǎng)絡(luò)攻擊其他系統(tǒng)的行為。

      ③軟件客戶端軟件交互過(guò)程中，本地使用谷歌chrome瀏覽器輸入訪問(wèn)Google.com訪問(wèn)請(qǐng)求,瀏覽器通過(guò)代理方式:ip與本地軟件客戶端軟件進(jìn)行連接對(duì)訪問(wèn)請(qǐng)求進(jìn)行加密后，發(fā)送至境外軟件服務(wù)器（日本）:ip境外服務(wù)器（日本）對(duì)訪問(wèn)請(qǐng)求進(jìn)行解密，并由境外軟件服務(wù)器（日本）發(fā)起與google.com站點(diǎn)服務(wù)器的連接，經(jīng)網(wǎng)站響應(yīng)后，將網(wǎng)站響應(yīng)數(shù)據(jù)進(jìn)行加密后傳輸至本地軟件客戶端軟件，再由本地軟件客戶端軟件解密響應(yīng)數(shù)據(jù)，在本地瀏覽器進(jìn)行顯示。數(shù)據(jù)包交互全程被加密，第三方監(jiān)測(cè)系統(tǒng)無(wú)法識(shí)別。

      綜上所述，軟件僅有加密傳輸功能，不具有侵入、控制，或者避開(kāi)、突破其他計(jì)算機(jī)信息系統(tǒng)的功能。

測(cè)試結(jié)論和建議

       1、軟件整體無(wú)致命問(wèn)題，即系統(tǒng)整體運(yùn)行穩(wěn)定，未發(fā)生系統(tǒng)崩潰，無(wú)法恢復(fù)等類似問(wèn)題；

       2、軟件功能穩(wěn)定，安全可靠，具有加密傳輸功能，不具有侵入、控制，或者避開(kāi)、突破其他計(jì)算機(jī)信息系統(tǒng)的功能。

       3、絕大部分主流查殺引擎都認(rèn)可客戶端軟件的安全性，但Cylance和Jiangmin仍分別檢測(cè)出在SecureAge APEX和DrWeb方面的問(wèn)題，建議修復(fù)；

綜上：軟件各項(xiàng)測(cè)定值基本符合安全要求，系統(tǒng)可靠，無(wú)嚴(yán)重問(wèn)題，可正常使用；