安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。安全是软件产品的一个重要特性,安全测试也是软件测试重的一个重要类别,本系列文章我们与大家分享软件安全测试的流程、方法以及软件测试工具等内容。
首先我们先来看一下,软件安全测试的流程。与其他类型的测试一样,软件产品的安全测试同样也是主要有测试需求分析、测试用例设计和测试执行这三个方面,首先我们先来看一下软件安全测试的测试需求分析。
软件产品安全测试的测试需求分析首先需要分析确定要测试的内容,包括身份鉴别、访问控制、数据安全、安全审计、漏洞扫描、接口安全、密码应用、抗抵赖性、个人信息保护、剩余信息保护、组件安全、业务安全、依从性这几个方面。
(表格详细内容可私信我获取)
然后根据要测试的内容,进一步分析系统所涉及到的敏感信息、关键功能的处理逻辑、关键业务流程、数据接口等确定相关信息。
接下来我们需要针对用户角色及涉及到的业务数据信息进行分析。分析系统都有哪些用户角色以及各角色所能执行的功能操作。针对有访问权限限制的业务数据信息进行分析。
最后我们还需要对敏感信息进行分析,不论系统对敏感信息是否有明确的安全要求,都需要分析系统所涉及到的所有敏感信息,包括登录信息、个人信息、支付信息等等。
以上就是软件安全测试的测试需求分析的全部内容,后面的文章我们会继续为大家介绍后面两个环节测试用例设计和测试执行以及软件安全测试会用到的软件测试工具等内容,欢迎大家继续关注。