軟件測(cè)試在面向安全的軟件開發(fā)過程中的作用。它側(cè)重于兩個(gè)相關(guān)主題：軟件功能安全測(cè)試和基于風(fēng)險(xiǎn)的安全測(cè)試。軟件功能測(cè)試旨在確保軟件按其應(yīng)有的方式運(yùn)行。因此，它主要基于軟件需求。基于風(fēng)險(xiǎn)的測(cè)試以軟件風(fēng)險(xiǎn)為基礎(chǔ)，每個(gè)測(cè)試都旨在探查先前通過風(fēng)險(xiǎn)分析確定的特定風(fēng)險(xiǎn)。

安全測(cè)試的商業(yè)案例

       從技術(shù)和項(xiàng)目管理的角度來看，執(zhí)行安全測(cè)試活動(dòng)主要是為了驗(yàn)證系統(tǒng)是否符合安全要求并識(shí)別系統(tǒng)內(nèi)潛在的安全漏洞。從業(yè)務(wù)角度來看，進(jìn)行安全測(cè)試活動(dòng)通常是為了降低整體項(xiàng)目成本、保護(hù)組織的聲譽(yù)或品牌、減少訴訟費(fèi)用或符合法規(guī)要求。

       在產(chǎn)品部署之前識(shí)別和解決軟件安全漏洞有助于實(shí)現(xiàn)這些業(yè)務(wù)目標(biāo)。安全測(cè)試活動(dòng)是一種用于識(shí)別和解決安全漏洞的方法。不幸的是，在某些組織中，這是用于識(shí)別安全漏洞的唯一方法。

了解安全測(cè)試活動(dòng)的高級(jí)好處相對(duì)容易理解。然而，從歷史上看，獲得安全測(cè)試活動(dòng)的真正成本效益一直是一項(xiàng)艱巨的任務(wù)。

       軟件測(cè)試和質(zhì)量保證社區(qū)在識(shí)別進(jìn)行測(cè)試以盡早和經(jīng)常識(shí)別軟件錯(cuò)誤的成本收益方面做得非常出色。如果認(rèn)為安全漏洞也是軟件缺陷的一種形式，那么安全測(cè)試也可以得出同樣的結(jié)論。在 QA 社區(qū)的同時(shí)，安全行業(yè)和執(zhí)法社區(qū)一直在編制有關(guān)過去十年安全事件成本的統(tǒng)計(jì)數(shù)據(jù)。這兩個(gè)社區(qū)收集的信息有助于了解安全測(cè)試的業(yè)務(wù)案例。

結(jié)論

       軟件安全測(cè)試的總體目標(biāo)是減少軟件系統(tǒng)中的漏洞。如上所述，這些漏洞如果在部署之前沒有暴露出來，至少需要額外的技術(shù)故障排除和開發(fā)工作來修復(fù)。解決這些漏洞的成本影響很容易評(píng)估。然而，在最壞的情況下，安全漏洞會(huì)對(duì)公司的聲譽(yù)或品牌產(chǎn)生不利影響，導(dǎo)致銷售損失或訴訟，并嚴(yán)重影響企業(yè)的財(cái)務(wù)狀況。

       在整個(gè)軟件開發(fā)生命周期中實(shí)施安全最佳實(shí)踐的組織都明白，盡早解決問題可以節(jié)省成本。安全測(cè)試是一項(xiàng)用于減少這些漏洞和控制未來潛在成本的活動(dòng)。