什么是安全測(cè)試？哪些階段需要安全測(cè)試？

安全測(cè)試是在IT軟件產(chǎn)品的生命周期中，特別是產(chǎn)品開(kāi)發(fā)基本完成到發(fā)布階段，對(duì)產(chǎn)品進(jìn)行檢驗(yàn)以驗(yàn)證產(chǎn)品符合安全需求定義和產(chǎn)品質(zhì)量標(biāo)準(zhǔn)的過(guò)程，可以說(shuō)，安全測(cè)試貫穿于軟件的整個(gè)生命周期。下面通過(guò)一張圖描述軟件生命周期各個(gè)階段的安全測(cè)試，如下圖所示。

上圖中的風(fēng)險(xiǎn)分析、靜態(tài)分析、滲透測(cè)試都屬于安全測(cè)試的范疇，與前面介紹的普通測(cè)試相比，安全測(cè)試需要轉(zhuǎn)換視角，改變測(cè)試中模擬的對(duì)象。下面從以下維度比較常規(guī)測(cè)試與安全測(cè)試的不同。

（1）測(cè)試目標(biāo)不同

普通測(cè)試以發(fā)現(xiàn)Bug為目標(biāo);安全測(cè)試以發(fā)現(xiàn)安全隱患為目標(biāo)。

（2）假設(shè)條件不同

普通測(cè)試假設(shè)導(dǎo)致問(wèn)題的數(shù)據(jù)是用戶不小心造成的，接口一般只考慮用戶界面;安全測(cè)試假設(shè)導(dǎo)致問(wèn)題的數(shù)據(jù)是攻擊者處心積慮構(gòu)造的，需要考慮所有可能的攻擊途徑。

（3）思考域不同

普通測(cè)試以系統(tǒng)所具有的功能為思考域;安全測(cè)試的思考域不但包括系統(tǒng)的功能，還有系統(tǒng)的機(jī)制、外部環(huán)境、應(yīng)用和數(shù)據(jù)自身安全風(fēng)險(xiǎn)與安全屬性等。

（4）問(wèn)題發(fā)現(xiàn)模式不同

普通測(cè)試以違反功能定義為判斷依據(jù);安全測(cè)試以違反權(quán)限與能力的約束為判斷依據(jù)。

猜你喜歡：

常見(jiàn)的安全測(cè)試工具有哪些？

10款移動(dòng)app安全測(cè)試工具推薦

6款自動(dòng)化應(yīng)用安全測(cè)試工具推薦

傳智教育軟件測(cè)試培訓(xùn)課程