软件测试顾名思义就是要进行软件安全方面的测试,对于软件测试人员来说,软件安全是一个广泛而复杂的主题,完全避免软件安全缺陷问题是不切实际的,但通过安全测试可以发现并修复软件大部分安全缺陷。下面介绍一些安全测试的基本原则有哪些?工作中可做参考。
安全测试的基本原则有哪些?
1、培养正确的思维方式
只有跳出常规思维定式才能成功执行安全测试。常规测试只需要覆盖目标软件的正常行为,而安全测试人员则要有创造性思维,创造性思维能够帮助我们站在攻击者角度思考各种无法预期的情况,同时能够帮助我们猜测开发人员是如何开发的,如何绕过程序防护逻辑,以某种不安全的行为模式导致程序失效。
2、尽早测试和经常测试
安全性缺陷和普通Bug没什么区别,越早发现修复成本越低,要做到这一点,最开始的工作就是在软件开发前期对开发和测试团队进行常见安全问题的培训,教他们学会如何检测并修复安全缺陷。虽然新兴的第三方库、工具以及编程语言能够帮助开发人员设计出更安全的程序,但是新的威胁不断出现,开发人员最好能够意识到新产生的安全漏洞对正在开发的软件的影响;测试人员要转变思维方式,从攻击者角度的各个细节测试应用程序,使软件更加安全。
3、选择正确的测试工具
很多情况下安全测试需要模拟黑客的行为对软件系统发起攻击,以确保软件系统具备稳固的防御能力。模拟黑客行为就要求安全测试人员擅长使用各种工具