軟件安全性測試

注意：除非產品開發小組的每個人——包括項目經理、程序員、測試員、技術文檔寫作員、市場人員、產品支持——都理解和認同可能存在的安全威脅，否則小組不可能開發出安全的產品來。

　　執行威脅模式分析并非軟件測試員的責任。

　　這個責任應該落到項目經理的任務清單上，并非項目小組每個成員都要參與。

　　一個復雜的系統要求全面的威脅模型分析來確認安全漏洞。

　�。�1）構建威脅模型分析小組

　　對于小組來說，重要的一點是了解他們的最初目標不是解決安全問題，而是確定安全問題。

　　在后期可以舉行一些小規模的特定團隊參加的會議，以隔離安全威脅，設計解決方案。

　�。�2）確認價值

　　考慮系統所有的東西對于一個入侵者來說價值有多大。

　�。�3）創建一個體系結構總體圖

　　要確認計劃用在軟件中的以及如何實現互聯的技術。

　　小的威脅模型分析小組會創建一個體系結構圖表示出主要的技術模塊和它們之間如何通信。

　�。�4）分解應用程序

　　這是一個格式化的過程，用來確認數據所在位置以及如何通過系統。

　�。�5）確認威脅

　　一旦完全理解了所有的部分（價值、體系結構、數據），威脅模型分析小組可以轉向確認威脅。

　　每一個部分都應該考慮成為威脅目標，并且應假設它們會受到攻擊。

　�。�6）記錄威脅

　　每個威脅都必須用文檔記錄，并且應進行跟蹤以確保其被解決。

　　文檔是一種簡單方式，用于描述威脅、目標、攻擊可能采用的方式、系統用于防御攻擊有哪些反制手段。

　�。�7）威脅等級評定

　　理解并非所有的威脅生來就平等這一點很重要

文章來源于領測軟件測試網 http://www.kjueaiud.com/