安全測試的基本原則有哪些?

　　軟體測試顧名思義就是要進行軟體安全方面的測試，對於軟體測試人員來說，軟體安全是一個廣泛而複雜的主題，完全避免軟體安全缺陷問題是不切實際的，但透過安全測試可以發現並修復軟體大部分安全缺陷。下面介紹一些安全測試的基本原則有哪些?工作中可做參考。

　　安全測試的基本原則有哪些?

　　1、培養正確的思維方式

　　只有跳出常規思維定式才能成功執行安全測試。常規測試只需要覆蓋目標軟體的正常行為，而安全測試人員則要有創造性思維，創造性思維能夠幫助我們站在攻擊者角度思考各種無法預期的情況，同時能夠幫助我們猜測開發人員是如何開發的，如何繞過程式防護邏輯，以某種不安全的行為模式導致程式失效。

　　2、儘早測試和經常測試

　　安全性缺陷和普通Bug沒什麼區別，越早發現修復成本越低，要做到這一點，最開始的工作就是在軟體開發前期對開發和測試團隊進行常見安全問題的培訓，教他們學會如何檢測並修復安全缺陷。雖然新興的第三方庫、工具以及程式語言能夠幫助開發人員設計出更安全的程式，但是新的威脅不斷出現，開發人員最好能夠意識到新產生的安全漏洞對正在開發的軟體的影響;測試人員要轉變思維方式，從攻擊者角度的各個細節測試應用程式，使軟體更加安全。

　　3、選擇正確的測試工具

　　很多情況下安全測試需要模擬駭客的行為對軟體系統發起攻擊，以確保軟體系統具備穩固的防禦能力。模擬駭客行為就要求安全測試人員擅長使用各種工具，如漏洞掃描工具、模擬資料流行為的前後臺相關工具、資料包抓取工具等。現在市面上提供了很多安全掃描器或者應用防火牆工具可以自動完成許多日常安全任務，但是這些工具並不是萬能的。作為測試人員，準確瞭解這些工具能做什麼，不能做什麼是非常重要的，切不可過分誇大或者不當使用測試工具。

　　4、可能情況下使用原始碼

　　測試大體上分為黑盒測試和白盒測試兩種。黑盒測試-般使用滲透方法，這種方法帶有明顯的黑;盒測試本身的不足，需要大量測試用例進行覆蓋，且測試完成後仍無法確定軟體是否存在風險。現在，白盒測試中原始碼掃描成為一種越來越流行的技術，使用原始碼掃描工具對軟體進行程式碼掃描，一方面可以找出潛在的風險，從內對軟體進行檢測，提高程式碼的安全性;另一方面也可以進一步提高程式碼的質量。黑盒的滲透測試和白盒的原始碼掃描內外結合，可以使軟體的安全性得到極大程度的提高。

　　5、測試結果文件化

　　測試總結的時候，明智且有效的做法是將測試行動和結果清晰準確地記錄在文件中，產生一份測試報告。該報告最好包括漏洞型別、問題引起的安全威脅及嚴重程度、用於發現問題的測試技術、漏洞的修復、漏洞風險等。一份好的測試報告應該幫助開發人員準確定位軟體安全漏洞，從而有效進行漏洞修補，使軟體更安全可靠。