1、第一步是了解组织的安全合规性的业务需求,安全目的和目标。测试计划应考虑组织可能计划实现PCI合规性等所有安全因素。
2、了解和分析被测应用的需求。
3、收集用于开发软件和网络的所有系统设置信息,如操作系统,技术,硬件。
4、列出脆弱性和安全风险列表。
5、基于上述步骤准备威胁资料。
6、基于确定的威胁,漏洞和安全风险,准备测试计划来解决这些问题。
7、对于每个确定的威胁,漏洞和安全风险,准备可追溯性矩阵。
8、所有安全测试都不可能手动执行,因此识别工具可以更快更可靠地执行所有安全测试用例。
9、准备安全测试案例文档。
10、执行安全测试用例并重新测试缺陷修复程序。
11、执行回归测试用例。
12、准备安全测试的详细报告,其中包含的漏洞和威胁,详细的风险和仍然开放的问题等。
软件安全测试完整生命周期,即完整测试步骤?