设想一下,如果一个软件开发人员不使用基本的计划、设计、开发、测试、部署和维护的方法,会怎么样呢?或者想象一下,一座大桥的设计师或者一座大楼的设计师匆匆忙忙地提出自己的设计方案会有什么后果呢?考虑一下这些方案是否有效?是否可行?安全漏洞测试也是如此。如果你要取得成功,你必须要有一个计划。你不能毫无准备就希望能够抓到一切问题。任何安全问题都可能被忽略。下面是制定安全测试计划的八个理由:
1.你将不可避免地忘记需要测试的一个或者更多的系统或者应用程序(也就是老文件服务器、随机的网络应用程序和数据库等),或者不知道如何接触一个具体的系统(使用身份识别或者不使用身份识别等)。你将不得不回过头来重做计划。这要比你事先做好计划浪费一倍的时间。
2.没有得到管理层或者项目发起人的批准会导致与预期相反的结果,使有关人员看起来都很成问题。
3.时间管理和成就专家认为,我们在规划时花费一分钟的时间,在执行的时候就可以节省五分钟的时间。还需要再说什么吗?
4.每一个人的理解都不一样,而且每一个的预期也都不是固定的。当出现这种情况时,你遇到的任何问题都会产生更大的影响。你总是需要做很多的解释。
5.你期待的使用商业工具的能力会推迟。我不止一次遇到这样的事情。我认为我的软件许可证是最新的,或者我知道必须要更新这个软件许可证,我认为这个更新的过程只需要很短的时间。由于厂商对我的更新请求并不是立即给予答复的,因此这种等待有时候使我的测试推迟了好几天。这些厂商处理客户问题的缺陷现在就变成了你的问题。
6.你毫无疑问地将在一个错误的时间进行你的测试。对于安全漏洞的测试实际上没有一个理想的时间。但是,如果你不规划好进行测试的时间和日期,你就会与批量的工作、高网络流量、运行备份等情况发生冲突。这种冲突不仅会延误你的测试,而且还可能造成系统崩溃。
7.你通常在IT、计划管理、产品管理和发起人主管经理等方面需要的重要资源也许不能帮助你回答问题,解释系统的工作原理,或者在你测试整个系统的时候提供你所需要的帮助。
8.规划过程的一部分实际上是要有一套测试方法。这些方法包括:侦察、列举、找到安全漏洞、利用这些安全漏洞、报告你发现的结果、随后保证安全漏洞已经修复。你可以使用ISO/IEC 17799:2005等高水平的标准框架。我建议你查看一下其它两个资源。一个是OCTAVE方法。另一个是开源软件安全测试方法手册(OSSTMM)。
如果你问你自己你要做什么事情,如果做这个事情,然后你再按照事情的轻重缓急把重点放在紧迫的和重要的事情上,你在安全测试中就可以聪明地利用时间并且得到积极的结果。
文章来源于领测软件测试网 https://www.ltesting.net/