软件系统安全测试管理规范标准
软件系统安全测试管理规范标准
软件系统安全测试管理规范上海理想信息产业(集团)有限公司2022年4月27日版本历史【目录】1概述 (5)1.1编写目的 (5)1.2适用范围 (5)1.3角色定义 (5)1.4参考资料 (5)2项目背景 (6)3软件系统安全测试流程 (7)4测试准备 (9)4.1测试准备 (9)4.1.1测试对象 (9)4.1.2测试范围 (9)4.1.3工作权责 (9)4.2测试方案 (10)4.2.1测试准备 (10)4.2.2测试分析 (11)4.2.3制作测试用例 (13)4.2.4实施测试方法 (14)4.2.5回归测试方法 (14)4.3测试计划 (14)4.4实施测试 (15)4.5回归测试 (15)4.6测试总结 (15)1概述1.1编写目的建立和完善-系统安全测试管理制度。
规范软件系统安全测试各环节的要求、规范各岗位人员的工作职责、明确软件系统安全测试实施过程中的管理行为及文档要求。
以规范化的文档指导软件系统安全测试工作,提升管理效率、降低项目风险。
1.2适用范围本规范适用于智能信息化系统建设项目软件安全测试管理过程。
1.3角色定义1.4参考资料2项目背景校园内信息化软件众多,这些软件不光承载着学校核心业务,同时还生成、处理、存储着学校的核心敏感信息:账户、隐私、科研、薪资等,一旦软件的安全性不足,将可能造成业务中断、数据泄露等问题的出现。
希望通过规范软件系统安全测试管理,改善和提高学校软件安全测试水准,将学校软件系统可能发生的风险控制在可以接受的范围内,提高系统的安全性能。
3软件系统安全测试流程软件系统安全测试流程分为6个阶段:1)测试准备:确定测试对象、测试范围、测试相关人员权责;2)测试方案:按要求整理撰写《安全测试方案》,并完成方案审批;3)测试计划:测试方案通过后,协调确认各相关人员时间,形成测试计划;4)实施测试:按计划实施软件安全测试工作,输出《软件安全测试报告》;5)回归测试:问题修复,回归测试循环进行,直到没有新的问题出现;6)测试总结:测试过程总结,输出文档评审,相关文档归档。
软件安全测试的标准
软件安全测试的标准
软件安全测试的标准是指用于评估和测试软件的安全性的各种规范和指南。
这些标准通常涵盖了安全测试的各个方面,例如漏洞扫描、渗透测试、安全漏洞修补等。
以下是几个常见的软件安全测试标准:
1. ISO 27001:2013 信息安全管理体系标准。
该标准提供了一种管理体系框架,用于帮助组织确保安全产品和服务的交付。
2. NIST Special Publication 800-37: "Framework for Computing Systems Security Architecture",该标准提供了一种计算系统安全框架,用于评估和增强计算系统的安全性。
3. ISO 17799:2012 质量管理系统标准。
该标准提供了一种用于开发和实施信息安全管理系统的标准框架。
4. DHS Federal Information Processing Standards (FIPS) 140-2: "Federal Information Processing Standards (FIPS) Decision Document",该标准是美国国防部用于制定各项国家标准的指导文件。
5. ISO/IEC 22000:2013 软件工程 - 软件产品质量模型标准。
该标准定义了软件产品的质量模型,用于评估软件产品的质量和可靠性。
以上标准只是其中的一部分,还有许多其他的标准用于评估和测试软件的安全性,例如漏洞扫描标准、Web 应用程序安全标准等。
软件测试标准规范
软件测试标准规范软件测试是软件开发过程中至关重要的一环,通过对软件进行全面、系统的测试,可以有效地发现和修复软件中的缺陷,保证软件的质量和稳定性。
为了规范软件测试工作,提高测试效率和质量,制定软件测试标准规范是非常必要的。
一、测试范围。
软件测试范围应包括但不限于功能测试、性能测试、安全测试、兼容性测试等,确保覆盖到软件的各个方面,以保证软件的全面性和完整性。
二、测试计划。
在软件测试开始之前,应制定详细的测试计划,包括测试的时间安排、资源分配、测试环境的搭建等内容,确保测试工作有条不紊地进行。
三、测试用例设计。
测试用例是软件测试的重要工作内容,应根据需求和设计文档编写全面、有效的测试用例,覆盖到软件的各个功能点和场景,以确保测试的全面性和有效性。
四、测试执行。
在测试执行阶段,应按照测试计划和测试用例进行测试,对软件的各个功能进行全面、系统的验证,发现并记录软件中存在的缺陷。
五、缺陷管理。
对于在测试过程中发现的缺陷,应及时记录、跟踪和管理,确保每个缺陷都得到妥善处理和解决,以提高软件的质量和稳定性。
六、测试报告。
在测试完成后,应编写详细的测试报告,包括测试的结果、发现的缺陷、解决情况等内容,为软件的改进和优化提供参考依据。
七、测试验收。
在软件测试完成后,应进行测试验收工作,确保软件测试工作的有效性和完整性,为软件的上线提供保障。
八、测试工具。
在软件测试过程中,可以借助各种测试工具提高测试效率和质量,但在选择和使用测试工具时,应慎重考虑,确保测试工具的稳定性和有效性。
总之,软件测试标准规范对于提高软件质量和稳定性具有重要意义,只有严格遵守软件测试标准规范,才能有效地保证软件的质量和用户体验。
希望各位测试人员能够严格遵守软件测试标准规范,为软件的质量和稳定性贡献自己的一份力量。
软件系统安全测试管理规范
软件系统安全测试管理规范上海理想信息产业(集团)有限公司2020年3月22日版本历史【目录】1概述 (5)1.1编写目的 (5)1.2适用范围 (5)1.3角色定义 (5)1.4参考资料 (5)2项目背景 (6)3软件系统安全测试流程 (7)4测试准备 (9)4.1测试准备 (9)4.1.1测试对象 (9)4.1.2测试范围 (9)4.1.3工作权责 (9)4.2测试方案 (10)4.2.1测试准备 (10)4.2.2测试分析 (11)4.2.3制作测试用例 (12)4.2.4实施测试方法 (13)4.2.5回归测试方法 (14)4.3测试计划 (14)4.4实施测试 (15)4.5回归测试 (15)4.6测试总结 (15)1概述1.1 编写目的建立和完善-系统安全测试管理制度。
规范软件系统安全测试各环节的要求、规范各岗位人员的工作职责、明确软件系统安全测试实施过程中的管理行为及文档要求。
以规范化的文档指导软件系统安全测试工作,提升管理效率、降低项目风险。
1.2 适用范围本规范适用于智能信息化系统建设项目软件安全测试管理过程。
1.3 角色定义1.4 参考资料2项目背景校园内信息化软件众多,这些软件不光承载着学校核心业务,同时还生成、处理、存储着学校的核心敏感信息:账户、隐私、科研、薪资等,一旦软件的安全性不足,将可能造成业务中断、数据泄露等问题的出现。
希望通过规范软件系统安全测试管理,改善和提高学校软件安全测试水准,将学校软件系统可能发生的风险控制在可以接受的范围内,提高系统的安全性能。
3软件系统安全测试流程软件系统安全测试流程分为6个阶段:1)测试准备:确定测试对象、测试范围、测试相关人员权责;2)测试方案:按要求整理撰写《安全测试方案》,并完成方案审批;3)测试计划:测试方案通过后,协调确认各相关人员时间,形成测试计划;4)实施测试:按计划实施软件安全测试工作,输出《软件安全测试报告》;5)回归测试:问题修复,回归测试循环进行,直到没有新的问题出现;6)测试总结:测试过程总结,输出文档评审,相关文档归档。
软件测试标准规范
软件测试标准规范1目的为了确保软件产品质量,使产品能够顺利交付和通过验收,特编写本文档,以作参考2适用范围本文档适用于项目开发过程中的单元测试、集成测试、系统测试、业务测试、验收测试以及一些专项测试。
3职责➢项目测试负责人组织编制《测试计划》、《测试方案》,指导和督促测试人员完成各阶段的测试工作。
➢项目组测试人员按照《测试计划》、《测试方案》完成所承担的测试任务,并按要求填写《问题报告及维护记录》。
➢测试经理依照确认规程和准则对工作产品进行确认,提出对确认规程和准则的修改意见➢项目负责人组织测试环境的建立。
➢项目经理审核负责控制整个项目的时间和质量。
➢研发人员确认修改测试人员提交的bug。
4工作流程4.1 测试依据详细设计是模块测试的依据。
因此设计人员应向测试人员提供《系统需求规格书名书》、《详细设计》、《概要设计》等有关资料。
测试人员必须认真阅读,真正弄懂系统需求和详细设计。
4.2 制订《测试方案》在测试之前,由项目负责人根据《测试计划》的要求,组织人员编制相应的《测试方案》,《测试方案》应包括以下内容:➢测试目的;➢所需人员及相应培训要求;➢测试环境、工具和测试软件;➢测试用例、测试数据和预期的结果。
4.3 单元测试项目开发实现过程中,每个程序单元(程序单元的划分视具体开发工具而定,一般定为函数或子程序级)编码调试通过后,要及时进行单元测试。
单元测试由单元开发者自己进行,使用白盒测试方法,根据程序单元的控制流程,争取达到分支覆盖。
对于交互式运行的产品,不便于进行自动测试的,可以采用功能测试的方法进行。
单元测试针对程序模块,从程序的内部结构出发设计测试用例。
多个模块可以独立进行单元测试。
➢单元测试内容包括模块接口测试、局部数据结构测试、路径测试、错误处理测试等;➢单元测试组织原则一遍根据开发进度安排对已开发完成的单一模块进行测试;➢单元测试停止标准:完成了所有规定单元的测试,单元测试中发现的bug已经得到修改。
计算机行业软件测试标准
计算机行业软件测试标准一、引言在计算机行业中,软件测试起着至关重要的作用。
它不仅可以保证软件的质量和可靠性,还可以提升用户体验和用户满意度。
为了规范软件测试工作,提高测试效率,本文将介绍计算机行业中的软件测试标准和规程。
二、测试前准备1.测试需求分析在进行软件测试之前,必须对测试需求进行深入分析。
测试需求分析包括明确测试目标、测试范围、测试环境和测试资源等方面的内容。
通过充分了解需求,可以确保测试的针对性和有效性。
2.测试计划制定在测试前准备阶段,需要制定详细的测试计划。
测试计划包括测试目标、测试策略、测试方法、测试资源、测试进度和风险管理等方面的内容。
通过制定测试计划,可以确保测试工作的有序进行,并提前规避潜在的风险。
三、测试设计与执行1.测试用例设计测试用例是进行软件测试的基本工具。
在设计测试用例时,需要考虑功能测试、性能测试、安全测试等不同方面的需求。
测试用例应该具有全面性、独立性和可重复性,以确保测试的覆盖率和准确性。
2.测试环境搭建为了进行有效的测试,需要建立适合的测试环境。
测试环境应该与实际使用环境相似,包括硬件设备、操作系统、网络配置等方面。
通过搭建合适的测试环境,可以模拟真实使用场景,提高测试的准确性和可靠性。
3.测试执行与记录在测试过程中,需要按照测试计划执行测试用例,并记录测试结果。
测试执行应该严格按照测试流程进行,确保每个测试环节的准确性和完整性。
测试记录应该详细、清晰,包括测试用例、测试数据、测试结果等方面的信息。
四、测试评估与报告1.测试评估在测试结束后,需要对测试结果进行评估。
测试评估包括测试覆盖率评估、测试效果评估和测试质量评估等方面。
通过评估测试结果,可以了解测试的有效性和可靠性,为后续的软件开发和改进提供参考。
2.测试报告测试报告是对测试工作的总结和归纳。
测试报告应该包括测试目标、测试范围、测试方法、测试结果和建议改进等方面的内容。
测试报告应该准确、简洁,以便于项目管理和决策者的理解和判断。
计算机软件测试规范
持续的测试和改进可以提高软件的可靠性和稳定性,减少软件故障和意外停机时间。
提高软件可靠性
对软件的功能、性能和安全性等方面进行评估和验证的过程,以确保软件满足用户需求和质量标准。
软件测试
测试用例
测试环境
为评估软件的不同方面而设计的输入和预期输出的示例,用于验证软件是否符合预期要求。
用于测试软件的计算机硬件和软件配置,以确保测试结果的准确性和可重复性。
测试计划审批流程
在开始测试之前,测试计划应经过相关团队的审批和确认,以确保其准确性和可行性。
报告结构
测试报告应包括简洁明了的标题、目录、概述、方法和结果等部分。
报告内容
报告应详细描述测试过程、结果、缺陷分析和建议等内容。
报告格式
报告的格式应清晰、易于阅读和理解,包括图表、表格和图片等。
01
缺陷概述:缺陷报告应首先简要概述发现的问题及其影响。
TestNG
LoadRunner
开源的负载和性能测试工具,适用于Web应用程序和各种服务的性能测试。
JMeter
Gatling
基于Scala的高性能负载测试工具,支持多种HTTP协议和场景。
支持多种协议和应用类型,提供虚拟用户和负载生成器,模拟高并发负载场景。
开源的网络扫描和安全审计工具,可用于发现网络服务和漏洞。
03
02
01
本测试规范适用于对计算机软件的功能、性能和安全性等方面的测试。
规范范围
本规范不适用于非计算机软件方面的测试,如硬件、网络等。此外,本规范也不涉及特定行业或领域的特定要求和标准。
规范限制
02
CHAPTER
测试目标和原则
确保软件功能符合需求和用户期望
软件测试技术手册及规范
软件测试技术手册及规范第一章软件测试基础 (3)1.1 软件测试概述 (3)1.2 软件测试目的与原则 (3)1.2.1 软件测试目的 (3)1.2.2 软件测试原则 (3)1.3 软件测试分类 (3)第二章测试用例设计 (4)2.1 测试用例概述 (4)2.2 测试用例设计方法 (4)2.2.1 等价类划分法 (4)2.2.2 边界值分析 (4)2.2.3 错误推测法 (5)2.2.4 因果图法 (5)2.2.5 正交分析法 (5)2.3 测试用例管理 (5)3.1 测试用例的创建 (5)3.2 测试用例的维护 (5)3.3 测试用例的执行 (5)3.4 测试用例的跟踪 (5)3.5 测试用例的评估 (6)第三章功能测试 (6)3.1 功能测试概述 (6)3.2 功能测试方法 (6)3.3 功能测试工具 (7)第四章功能测试 (7)4.1 功能测试概述 (7)4.2 功能测试指标 (7)4.3 功能测试工具 (8)第五章自动化测试 (9)5.1 自动化测试概述 (9)5.2 自动化测试工具 (9)5.3 自动化测试框架 (9)第六章安全测试 (10)6.1 安全测试概述 (10)6.2 安全测试方法 (10)6.2.1 动态应用安全测试(DAST) (11)6.2.2 静态应用安全测试(SAST) (11)6.2.3 交互式应用安全测试(IAST) (11)6.3 安全测试工具 (11)6.3.1 动态应用安全测试工具 (11)6.3.2 静态应用安全测试工具 (11)6.3.3 交互式应用安全测试工具 (12)第七章兼容性测试 (12)7.1 兼容性测试概述 (12)7.2 兼容性测试方法 (12)7.3 兼容性测试工具 (13)第八章稳定性与回归测试 (13)8.1 稳定性与回归测试概述 (13)8.2 稳定性与回归测试方法 (13)8.2.1 稳定性测试 (13)8.2.2 回归测试 (14)8.3 稳定性与回归测试工具 (14)第九章测试管理 (15)9.1 测试管理概述 (15)9.2 测试计划与管理 (15)9.3 测试团队管理 (15)第十章缺陷管理 (16)10.1 缺陷管理概述 (16)10.1.1 缺陷的定义 (16)10.1.2 缺陷管理的目的 (16)10.1.3 缺陷管理的内容 (16)10.2 缺陷跟踪与管理 (16)10.2.1 缺陷记录 (17)10.2.2 缺陷跟踪 (17)10.2.3 缺陷统计与分析 (17)10.3 缺陷分析 (17)第十一章测试文档与报告 (18)11.1 测试文档概述 (18)11.1.1 测试文档的定义 (18)11.1.2 测试文档的分类 (18)11.1.3 测试文档的作用 (18)11.2 测试报告撰写 (18)11.2.1 测试报告的定义 (18)11.2.2 测试报告的结构 (18)11.2.3 测试报告撰写要点 (19)11.3 测试报告评审 (19)11.3.1 测试报告评审的目的 (19)11.3.2 测试报告评审的内容 (19)11.3.3 测试报告评审流程 (19)第十二章测试流程与规范 (20)12.1 测试流程概述 (20)12.2 测试流程优化 (20)12.3 测试规范制定与执行 (21)第一章软件测试基础1.1 软件测试概述软件测试是软件开发过程中不可或缺的一个重要环节,它旨在保证软件产品在实际运行过程中能够满足用户的需求,提高软件质量,降低软件缺陷带来的风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
软件系统安全测试
管理规
理想信息产业(集团)
2020年10月15日
版本历史
【目录】
1概述 (5)
1.1编写目的 (5)
1.2适用围 (5)
1.3角色定义 (5)
1.4参考资料 (5)
2项目背景 (6)
3软件系统安全测试流程 (7)
4测试准备 (9)
4.1测试准备 (9)
4.1.1测试对象 (9)
4.1.2测试围 (9)
4.1.3工作权责 (9)
4.2测试方案 (10)
4.2.1测试准备 (10)
4.2.2测试分析 (11)
4.2.3制作测试用例 (12)
4.2.4实施测试方法 (13)
4.2.5回归测试方法 (14)
4.3测试计划 (14)
4.4实施测试 (15)
4.5回归测试 (15)
4.6测试总结 (15)
1概述
1.1编写目的
建立和完善-系统安全测试管理制度。
规软件系统安全测试各环节的要求、规各岗位人员的工作职责、明确软件系统安全测试实施过程中的管理行为及文档要求。
以规化的文档指导软件系统安全测试工作,提升管理效率、降低项目风险。
1.2适用围
本规适用于智能信息化系统建设项目软件安全测试管理过程。
1.3角色定义
1.4参考资料
2项目背景
校园信息化软件众多,这些软件不光承载着学校核心业务,同时还生成、处理、存储着学校的核心敏感信息:账户、隐私、科研、薪资等,一旦软件的安全性不足,将可能造成业务中断、数据泄露等问题的出现。
希望通过规软件系统安全测试管理,改善和提高学校软件安全测试水准,将学校软件系统可能发生的风险控制在可以接受的围,提高系统的安全性能。
3软件系统安全测试流程
软件系统安全测试流程分为6个阶段:
1)测试准备:确定测试对象、测试围、测试相关人员权责;
2)测试方案:按要求整理撰写《安全测试方案》,并完成方案审批;
3)测试计划:测试方案通过后,协调确认各相关人员时间,形成测试计划;
4)实施测试:按计划实施软件安全测试工作,输出《软件安全测试报告》;
5)回归测试:问题修复,回归测试循环进行,直到没有新的问题出现;
6)测试总结:测试过程总结,输出文档评审,相关文档归档。
其整体流程见流程图(下图):
软件安全测试流程
总集PM 图信PM
安全测试团队厂商负责人文档
阶段开始提出安全测试需求
协调测试团队
编撰软件安全测试方案审核方案审核方案
通过不通过
不通过提供安全测试环境信息协调相关人员时间通过
制定安全测试计划实施测试
软件安全测试方案
软件安全测试计划
软件安全测试报告回归测试
测试总结软件安全测试总结
修复问题或漏洞
结束
4测试准备
4.1测试准备
明确本次安全测试的软件系统及其测试围,并对涉及各方权责做出说明4.1.1测试对象
软件系统名称,软件厂商信息、软件开发语言等
4.1.2测试围
软件部程序、软件外部接口、数据库、网络服务器环境等
4.1.3工作权责
4.2测试方案
安全测试团队根据软件构成、软件环境以及图信安全需求编制《X软件系统安全测试方案》;
此方案要求图信PM、总集PM均审核通过;
若审核未通过,由安全测试团队根据反馈建议,针对未通过的业务容进行修改或重新调研,完成后进行再提交审核。
软件系统安全测试方案至少要覆盖以下容:
1)测试准备(对象、围、分工)
2)测试分析(系统分析、威胁分析)
3)制作测试用例
4)实施测试方法
5)回归测试方法
4.2.1测试准备
明确本次安全测试的软件系统及其测试围,并对涉及各方权责做出说明
4.2.2测试分析
测试分析主要是熟悉被测系统,通过系统的外部环境分析、物理架构分析和逻辑架构分析,了解系统特性,便于后续的威胁分析以及对应的用例编写。
4.2.2.1系统分析
系统分析包含外部环境分析、物理架构分析和逻辑架构分析的划分。
1)外部环境分析
对系统所在的外部环境,如操作系统、服务器、网络等进行分析
●服务器安全防护(系统补丁、漏洞、木马、外挂、开放端口)
●服务器用户及其权限管理,密码更新机制
●服务器备份机制
2)物理架构分析
按照系统物理架构分析其使用的组件,如底层使用何种数据库,控制层使用何种组件,表示层使用何种前端库等,组件之间使用那些通信协议等,了解系统特性。
数据存储层:如MySQL、Oracle、Redis、Bigtable等;
控制层:如spring、Struts2、Tomcat、Weblogic等;
表示层:如ExtJS、Bootstrap等;
通信协议:如AMQP等
3)逻辑架构分析
按照系统的业务逻辑划分业务,再根据各业务数据流从身份验证、加密、输入校验、敏感数据、配置管理、授权、异常管理、会话管理、参数操作、审核和日志记录、部署和基础结构等方面入手分析。
4.2.2.2威胁分析
系统分析后需要进行的就是威胁分析,根据系统分析的结果,选择合适的威胁模型,分析系统面临的主要安全威胁。
常用的威胁模型STRIDE,是基于数据流的一种威胁分析模型,它包含六个维度威胁:
威胁模型STRIDE一般应用在二层数据流图上,在外界操作与系统部模块之
间、系统模块与外界存储之间需要画立信任边界。
数据流图元素和STRIDE的对应关系如下:
对于每一种威胁,其对应的消减方式如下表:
4.2.3制作测试用例
系统分析和威胁分析后就需要根据分析结果编写测试用例。
外界环境和物理架构这边,主要是针对系统或组件特点,罗列用例容;
逻辑架构这边是测试用例重点,分析软件系统数据流图,针对分解的每一个二层数据流图,对每一个数据流图元素,映射对应的威胁,编写测试用例,用例必须按照模板输出。
测试用例具体容包括:
用例名称:测试用例必须具有唯一可区分的名称;
用例执行步骤:用例的详细执行步骤,每一步必须无歧义,具备可执行性;
用例使用的工具:用例执行过程中使用的工具;
用例的执行条件:用例执行必须具备的条件,如网络可达、服务必须运行等;
用例的输入和输出:用例执行过程中涉及的输入,以及对应的输出;
用例的安全属性:目前规定的安全属性包括管理通道安全、XSS、注入攻击、CSRF、身份认证、会话安全、敏感数据保护、越权、中间件安全、配置安全这10个维度;
用例执行优先级:用例执行的优先顺序,在用例数量很多的情况下,应按照优先级高低的顺序执行。
4.2.4实施测试方法
测试用例编写完就需要开始用例的执行,具体的测试包括自动化的工具执行
以及手动测试。
自动化的工具扫描包括:Nmap端口扫描、系统漏洞扫描、web安全扫描、协议安全扫描等;
手动测试包括:XSS、CSRF、SQL注入、XML注入、命令注入、横向/纵向越权、会话安全等等;
安全测试环境原则上使用软件系统测试环境,如必须在生产环境上进行,实
施测试方法中必须包含《失败退回方案》,保护生产环境中的数据和应用;
对于每一个用例的测试过程,需要有对应的操作截图,测试执行完成后需要输出对应的《安全测试报告》。
4.2.5回归测试方法
《安全测试报告》中需要给出每个安全问题或漏洞的解决方案或建议。
如果可能,解决方案应当详细到源码级别。
回归测试的目的为了防止问题修复引入新的安全问题,问题修复&回归测试是个循环的过程,测试没有新的问题时循环即终止。
4.3测试计划
待《软件安全测试方案》总集审核、图信审核均通过后,由总集PM协调确认涉及各方的测试时间及地点安排,最终形成《软件安全测试计划》《软件安全测试计划》主要包含以下容:
1)测试对象
2)工作权责
3)具体测试分工及测试时间地点安排
4)附《软件安全测试方案》
4.4实施测试
安全实施团队按照《软件安全测试计划》实施测试,涉及各方现场或远程配合测试工作;
实施测试过程中,如多方存在问题或争议,由总集PM协调处理;
实施测试工作结束后,安全团队给出《软件安全测试报告》,说明本次安全测试过程中发现的问题或漏洞,并给出推荐处理意见。
4.5回归测试
待厂商完成《软件安全测试报告》中问题及漏洞的修复工作后,安全实施团队确认修复工作,并确认是否引入了新的问题;
问题修复&回归测试是个循环的过程,测试没有新的问题时循环即终止。
4.6测试总结
测试工作完成后,由安全测试团队总结本次测试过程中出现的问题,并针对这些问题给出改进建议。