1.文档测试
如果文档除了简单的readme文件外没有其他内容:要保证该文档包含应有的所有材料,全部内容从技术角度讲准确无误,还要进行拼写检查和磁盘病毒扫描。
如果除此之外还有:
- 包装文字和图形
- 市场宣传材料、广告及其它插页
- 授权/注册登记表
- EULA(最终用户许可协议)
- 标签和不干胶条
- 安装和设置指导
- 用户手册
- 联机帮助
- 指南、向导和CBT(计算机基础训练)
- 样例、示例和模板
- 错误提示信息
那么就需要对这些文档进行测试!
1.1 文档测试的重要性
- 提高易用性
- 提高可靠性
- 降低支持费用
1.2 审查文档时要找什么
- 非代码
测试这些部分时,与第4章“检查产品说明书”和第6章“检查代码”所述的静态过程类似。可以视之为技术编辑和技术校对。 - 文档和代码紧密结合
动态测试,利用第5章“戴上眼罩测试软件”和第7章“带上X光测试软件”的技术进行测试。 - 文档是软件驱动
需要像软件其余部分一样进行测试。检查索引表是否完整,搜索结果是否正确。超级链接和热点是否跳转到正确的页面,利用等价划分技术确定尝试哪些测试用例。
2.软件安全测试
2.1 了解动机
- 挑战/成名
- 好奇
- 使用/借用
- 恶意破坏
- 偷窃
2.2 威胁模式分析
可以把威胁模式分析看作第6章“检查代码”中讨论的正式审查的一个变型。威胁模式分析的步骤:
- 构建威胁模式分析小组
- 确认价值
- 创建一个体系结构总体图
- 分解应用程序
- 确认威胁
- 记录威胁
- 威胁等级评定
威胁等级评定是由恐怖公式(DREAD Formula)定义的:
- 潜在的危害
- 可反复性
- 可利用性
- 受影响的客户
- 可发现性
简单用1表示低,2表示种等,3表示高。将此应用到上面五项得到的总和来评估安全等级。
2.3 怎样测试软件安全缺陷
用“失效性测试”,像黑客一样攻击被测试的软件。
2.4 值得注意的一些安全漏洞
缓冲区溢出;安全的字符串函数;潜在数据(磁盘存储方式)。