- 目标类似
不管是常规测试还是安全测试,都有一个原则:预防胜于检测。这个比较容易理解,不管是常规测试的缺陷也好,还是安全测试的漏洞也好,如果能预防使它不发生,就省了后期的修复与验证工作。如果不能成功的预防缺陷,能早一些发现的话,肯定比晚发现的修复的成本低。
2. 在软件生命周期中的过程类似
以敏捷开发团队为例,常规测试人员在各个阶段做的事情,安全测试人员也要做:
了解业务的需求,以避免混乱的测试优先级;
针对业务与系统功能设计用例:常规测试需要关注系统功能,安全测试同样也不能脱离系统功能;
与其他角色一起启动需求的开发:沟通测试用例,避免因为沟通不足造成返工;
与其他角色一起在开发环境验收需求:尽早提供反馈,发现缺陷时开发可以马上修正
在测试环境进行全面测试:针对端到端的场景进行测试