致測試同仁們：讓我們做安全測試吧！(3)

1. 目標類似

不管是常規測試還是安全測試，都有一個原則：預防勝于檢測。這個比較容易理解，不管是常規測試的缺陷也好，還是安全測試的漏洞也好，如果能預防使它不發生，就省了后期的修復與驗證工作。如果不能成功的預防缺陷，能早一些發現的話，肯定比晚發現的修復的成本低。

2. 在軟件生命周期中的過程類似

以敏捷開發團隊為例，常規測試人員在各個階段的事情，安全測試人員也要做：

• 了解業務的需求，以避免混亂的測試優先級；
• 針對業務與系統功能設計用例：常規測試需要關注系統功能，安全測試同樣也不能脫離系統功能；
• 與其他角色一起啟動需求的開發：溝通測試用例，避免因為溝通不足造成返工；
• 與其他角色一起在開發環境驗收需求：盡早提供反饋，發現缺陷了開發可以馬上修正
• 在測試環境進行全面測試：針對端到端的場景進行測試，盡可能把第三方系統（如果有的話）也包括進來；
• 分析并總結測試結果：整理問題清單，排列優先級；
• 反饋測試結果：把測試結果反饋給團隊等干系人。

  

3. 測試用例很多重合

在面向終端用戶的測試場景上，常規測試的用例與安全測試的用例是非常類似的。比如對于登錄系統的功能，不管是常規測試還是安全測試，我們都會測試用戶輸入正確的用戶名是否可以登錄，輸入錯誤的用戶名或密碼是否系統會如何反應。

比如我曾經工作的一個搜集報稅人信息的系統，不管是常規測試還是安全測試，常規測試會測試系統的登錄，系統信息的錄入與編輯，文件的上傳等等，安全測試也會測試這些業務場景。

因為在每一個終端用戶可以操作的場景上，都可能會有安全漏洞存在。所以，有了常規測試的經驗，我們就相當于有了不少安全測試用例的儲備。

原文轉自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test