软件安全性测试的两种方法

标签: dev | 发表时间:2020-01-05 00:00 | 作者:
出处:http://itindex.net/relian

软件安全性测试是一项复杂而昂贵的测试活动,我们要把有限的测试能力用得恰到好处,就要讲究方法。

《软件测试的有效方法》中给出两种软件安全性测试的方法:安全基线法和安全矩阵法。

1. 安全基线法

所谓安全基线法,就是根据安全需求设置一个安全基线,这个基线能够大概率地确保软件的安全性,软件的安全性测试就以满足这个安全基线为主。超出安全基线的范围就不用耗费精力去测试。

2. 安全矩阵法

安全矩阵法是用一个矩阵来表示出所有安全活动发生概率,从而标识出发生概率最大的安全活动。这类安全活动是软件安全性测试优先完成的点。

虽然《软件测试的有效方法》给出的软件安全性设计是基于信息系统安全提出的,但对于军用软件来说,虽然我们希望系统需求分析时就能够给出安全性需求,但是要确认这些安全性需求是否实现,也并不是件容易的事儿。这两种有助于合理分配测试资源的方法,于我们而言,同样具有积极的意义。

特别是安全矩阵法。

对于军用软件来说,可以对安全矩阵法做进一步的变形,我们不仅可以按照安全需求分配的模块和接口来确认安全位置,绘制安全位置发生安全问题概率的矩阵,还可以绘制程序运行的关键时机发生安全问题概率的矩阵。

这样一来,我们的安全性测试用例就可以依据上述两个矩阵来设计,从而优先覆盖发生安全问题概率最大的时机和发生安全问题概率最大的位置。

通过这两种方法,可以确保我们有限的测试能力可以尽可能地完成好安全性测试任务。

这正是:

安全测试花费高,满足需求刚刚好

设置基线画矩阵,最大概率要确保

参考书目:《软件测试的有效方法》


作者简介:王小双,长期从事GJB5000推广、实施、评价、改进的工作,创建《软件工程之思》微信公众号,一直在《软件工程之思》分享GJB5000、CMMI、软件工程的知识和感悟。现致力于GJB5000咨询以及软件过程改进、软件工程能力提升的研究工作。


相关 [软件 安全 测试] 推荐:

软件安全性测试的两种方法

- - IT瘾-dev
软件安全性测试是一项复杂而昂贵的测试活动,我们要把有限的测试能力用得恰到好处,就要讲究方法. 《软件测试的有效方法》中给出两种软件安全性测试的方法:安全基线法和安全矩阵法. 所谓安全基线法,就是根据安全需求设置一个安全基线,这个基线能够大概率地确保软件的安全性,软件的安全性测试就以满足这个安全基线为主.

软件测试的原则

- - CSDN博客推荐文章
 在软件测试中有很多重要的指导原则,这些原则看上去大多是显而易见的,但是总是被我们忽略,作为虫师,我们当然应该把这些原则牢记于心,作为专业测试人员的基本素养. 原则1 测试用例中一个必需部分是对预期输出或结果的定义.  这条原则是软件测试中常犯错误之一,但是如果不按照这条原则进行,由于“所见即所想”这样的一个心里现象的存在,某个似是而非的错误结果可能会被当成是正确的结论.

Android APP安全测试基础

- - 阿德马Web安全
自从去了新公司之后,工作太忙,变的有点懒了,很久没有更新Blog. 今天跟几个小伙伴一起吃饭,小伙伴提起我的Blog,想想是该更新更新了,就把我投稿给sobug的这篇转过来吧,关于Android app安全测试的基础东东,在Sobug 的url:. 最近这两年移动端真是非常火,每个单位或多或少都会有那么几款App,对于我们Web安全攻城师来说,App安全也需要或多或少的了解一些.

文章: 软件测试转型之路

- - InfoQ cn
2010年12月31日,在网易从事了多年开发之后,依依不舍地离开,面临的是一个完全从零开始的全新职位:SQA,也就是tester. 保持某些系统的高可用性,是一些企业的重中之重,如何设计. 海量数据处理,海量视频分发,架构热点难点,尽在架构师峰会. ArchSummit全球架构师峰会报名启动. 当时对为什么被选择做软件质量保证,而不是继续在研发上进取,持有保留态度:凭什么要我转,不是别人.

软件测试中的心理学

- - 技术改变世界 创新驱动中国 - 《程序员》官网
软件测试是一项技术性工作,但同时也涉及经济学和人类心理学的一些重要因素. 在理想情况下,我们会测试程序的所有可能执行情况,而在大多数情况下,这几乎是不可能的. 即使一个看起来非常简单的程序,其可能的输入与输出组合可达到数百种甚至数千种,对所有的可能情况都设计测试用例是不切合实际的. 对一个复杂的应用程序进行完全的测试,将耗费大量的时间和人力资源,这样在经济上是不可行的.

软件测试用例编写建议

- - CSDN博客推荐文章
软件测试人员(SQA/SQC),做的最频繁并且最主要的活动之一就是编写软件测试用例了. 首先,请记住以下所有的讨论都是关于编写软件测试用例,而不是设计/定义/确认测试用例(TC).   这项主要活动有几个重要的关键因素,让我们先来大概了解一下吧.   A、软件测试用例要易于定期修改和更新.   我们生活在一个不断变化的世界,软件也不能免于变化.

如何开发高质量软件?及软件测试观点

- - 我的宝贝孙秀楠 ﹣C++, Lua, 大连,程序员
也许是因为我经常在twitter上鼓吹“代码质量来自code review和单元测试”,老赵的这篇文字 http://blog.zhaojie.me/2012/01/a-case-requirement-to-practice-unit-testing-or-tdd.html 也at我一下,抱歉的是最近欠债太多,正在着手完成答应侯伯薇的那篇关于appengine的文字.

你的代码(软件)安全吗?

- - 酷勤网-挖经验 [expanded by feedex.net]
2011年安全事件层出不穷,几乎可以称为“黑客年”. 以前黑客通常是利用程序漏洞来造成破坏,令网站陷入尴尬的境地,但如今他们却是为了窃取数据、IP地址,或者通过在网站中植入木马将恶意软件安装到访客的电脑里,更有甚者转移账户、违反行业规定等等,因此应用程序的安全显得越来越重要. 据统计,10个程序中有8个以上在第一次测试时都不能通过OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)的检查,而且有一半的开发者在基础程序安全评估中都只能获得C级甚至更低的评级.

网站安全检测:推荐8款免费的Web安全测试工具

- - 互联网的那点事
随着 Web 应用越来越广泛,Web 安全威胁日益凸显. 黑客利用网站操作系统的漏洞和  Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害. 这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温.

渗透测试:我的企业安全经验之账号安全

- - Seay's blog 网络安全博客
安全管理要想真正做好真不容易,主要是看高层和业务方的支持. 我专门针对密码安全这块做过一些研究,也根据自己的一些经验,最终是产出了一些密码和用户名字典,有手写了上千个,也有根据自己写的词根来生成一些,当然只是普性字典,还有一个专门针对的企业员工信息安全的大数据平台(大杀器)正在研发,我们要把经验做成自动化来玩.