大数据时代，用户在使用软件产品时安全是放在首位的，现在手机里各类app软件对我们的个人信息与上网足迹了如指掌，因此软件安全是软件产品的重中之重。

安全性测试方法和手段：

目前有许多种的测试手段可以进行安全性测试，安全测试方法分主要为三种：
①静态的代码安全测试：主要通过对源代码进行安全扫描，根据程序中数据流、控制流、语义等信息与其特有软件安全规则库进行匹对，从中找出代码中潜在的安 全漏洞。静态的源代码安全测试是非常有用的方法，它可以在编码阶段找出所有可能存在安全风险的代码，这样开发人员可以在早期解决潜在的安全问题。而正因为如此，静态代码测试比较适用于早期的代码开发阶段，而不是测试阶段。
②动态的渗透测试：渗透测试也是常用的安全测试方法。是使用自动化工具或者人工的方法模拟黑客的输入，对应用系统进行攻击性测试，从中找出运行时刻所存在的安全漏洞。这种测试的特点是真实有效，一般找出来的问题都是正确的，也是较为严重的。但渗透测试一个致命的缺点是模拟的测试数据只能到达有限的测试点，覆盖率很低。
③程序数据扫描。一个有高安全性需求的软件， 在运行过程中数据是不能遭到破坏的，否则会导致缓冲区溢出类型的攻击。数据扫描的手段通常是进行内存测试，内存测试可以发现许多诸如缓冲区溢出之类的漏洞，而这类漏洞使用除此之外的测试手段都难以发现。例如，对软件运行时的内存信息进行扫描，看是否存在一些导致隐患的信息，当然这需要专门的工具来进行验证。

软件安全性测试工具盘点：

1. AppScan

一款安全漏洞扫描工具，支持Web和移动，非常适用漏洞扫描，可以说是"探索"和"测试"的过程，生成直观测试报告，有助于研发人员分析和修复。通常用来扫描一些安全漏洞，用起来较方便。

2. nessus

一款世界上流行的漏洞扫描程序，可提供完整的电脑漏洞扫描服务，并随时更新其漏洞数据库。支持同时在本机或远端上遥控，进行系统的漏洞分析扫描。

3.Skipfish

这是一款主动的Web应用程序安全侦察工具，可以快速实现响应目标的每秒2000个请求，CPU占用率小，速度快，误报率较小。

4. Sqlmap

一个开源的渗透测试工具，主要用于自动化测试，这个工具的原理是利用SQL注入漏洞，获取数据库服务器的权限。