任何一個測試的開始都要制定一個完整的測試計劃,現(xiàn)在我們就從web安全測試的測試計劃開始
要做一個測試計劃首先要明確測試需求。在寫測試計劃之前必須要明確測試需求,
暗含的要求:例如很少看到這樣明確話的文檔要求:“入侵這相應手冊中不許友拼寫錯誤”但同時有些組織是允許拼寫錯誤存在的。這樣暗含的要求我們就要明確,可以通過和主管部門或是用戶溝通來明確這樣的要求。
不完全的或模糊的要求
比如:“所有的網站都應該安裝SP3補丁”這樣的要求就是模糊不清的,因為沒有指明是操作系統(tǒng)還是網站服務軟件,或是某些具體的系統(tǒng)軟件。這樣的需求就應該有需求提出的人來明確,確定在什么系統(tǒng)上安裝sp3補丁。
未指明的要求
如:“必須使用強密碼”看起來還向沒什么問題,但從測試觀點看,設么是強密碼呢?是常超過7個字符的,還是應該有大小寫的。這樣的要求我們就應該根據密碼要求標準具體化,比如:要求密碼加強必須大于7個字符。
籠統(tǒng)的要求
比如“站點必須是安全的”盡管每個人都會同意這個要求,但展點能夠徹底安全的唯一方法就是,斷開展點的所有連接,內網的外網的,然后鎖在一個加了封條的屋子里。但是這并不是要求的本意。這樣的要求應該具體化,制定要求達到的安全程度。
好了要求明確了,下面就說一下就話的結構。呵呵我也是學來的,照別人的說吧,也有我的體會
測試計劃的結構
測試計劃可以依照工業(yè)標準(例如軟件文檔標準——Std.829)組織,也可以基于內部摸版,甚至可以用創(chuàng)獻禮的全新個是編排。但大家一定要注意一點,測試計劃重要的不是個是而是創(chuàng)建測試計劃的過程一定要獲得測試組的認可。但有的測試必須用規(guī)格的測試計劃格式,行業(yè)內部摸版或行業(yè)標準,這樣的測試如:政府機構、保險承銷商等。
測試計劃可以長達幾百頁,也可以簡單的只有一張紙,關鍵測試計劃必須實用,也不必要把大量的人力和物理花費在測試計劃上,要根據具體情況來確定。
根據IEEE Std.829-1998(軟件測試文檔標準1998年修訂版)來介紹測試計劃的內容
1.測試計劃標題
就是說沒個測試計劃和每個測試計劃的版本都應該有一個公司內部的獨一無二標示,這也是文檔控制和版本控制的基本要求,我覺得在正規(guī)公司的同仁們都應該明白。
2.介紹
這一部分適度測試的一個總的概括,通過這一部分一該讓讀者明白此項目的準確目標和測試組如何達到這些目標。根據情況也可以做一些基本概念的解釋,比如為什么要做安全測試等等。
3.項目范圍
在這一部分中明確項目的測試目標,如果在介紹中已經描述的測試目標的話在這一部分應該詳盡的介紹測試目標。同時在這一部分可以列出在測試中不設計的測試項。
4.變動控制過程
這一部分主要是解決再測試中如果有需要變動的測試項應做如何處理,可參考CCB(變動控制委員會)的意見進行適當的變動。