軟件測試在面向安全的軟件開發(fā)過程中的作用。它側(cè)重于兩個相關(guān)主題：軟件功能安全測試和基于風(fēng)險的安全測試。軟件功能測試旨在確保軟件按其應(yīng)有的方式運行。因此，它主要基于軟件需求?；陲L(fēng)險的測試以軟件風(fēng)險為基礎(chǔ)，每個測試都旨在探查先前通過風(fēng)險分析確定的特定風(fēng)險。

安全測試的商業(yè)案例

       從技術(shù)和項目管理的角度來看，執(zhí)行安全測試活動主要是為了驗證系統(tǒng)是否符合安全要求并識別系統(tǒng)內(nèi)潛在的安全漏洞。從業(yè)務(wù)角度來看，進行安全測試活動通常是為了降低整體項目成本、保護組織的聲譽或品牌、減少訴訟費用或符合法規(guī)要求。

       在產(chǎn)品部署之前識別和解決軟件安全漏洞有助于實現(xiàn)這些業(yè)務(wù)目標(biāo)。安全測試活動是一種用于識別和解決安全漏洞的方法。不幸的是，在某些組織中，這是用于識別安全漏洞的唯一方法。

了解安全測試活動的高級好處相對容易理解。然而，從歷史上看，獲得安全測試活動的真正成本效益一直是一項艱巨的任務(wù)。

       軟件測試和質(zhì)量保證社區(qū)在識別進行測試以盡早和經(jīng)常識別軟件錯誤的成本收益方面做得非常出色。如果認(rèn)為安全漏洞也是軟件缺陷的一種形式，那么安全測試也可以得出同樣的結(jié)論。在 QA 社區(qū)的同時，安全行業(yè)和執(zhí)法社區(qū)一直在編制有關(guān)過去十年安全事件成本的統(tǒng)計數(shù)據(jù)。這兩個社區(qū)收集的信息有助于了解安全測試的業(yè)務(wù)案例。

結(jié)論

       軟件安全測試的總體目標(biāo)是減少軟件系統(tǒng)中的漏洞。如上所述，這些漏洞如果在部署之前沒有暴露出來，至少需要額外的技術(shù)故障排除和開發(fā)工作來修復(fù)。解決這些漏洞的成本影響很容易評估。然而，在最壞的情況下，安全漏洞會對公司的聲譽或品牌產(chǎn)生不利影響，導(dǎo)致銷售損失或訴訟，并嚴(yán)重影響企業(yè)的財務(wù)狀況。

       在整個軟件開發(fā)生命周期中實施安全最佳實踐的組織都明白，盡早解決問題可以節(jié)省成本。安全測試是一項用于減少這些漏洞和控制未來潛在成本的活動。