一種軟件安全性測試用例設(shè)計(jì)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明公開一種軟件安全性測試用例設(shè)計(jì)方法�,屬于軟件測試領(lǐng)域��。
【背景技術(shù)】
[0002]軟件安全性測試是檢驗(yàn)軟件中已存在的軟件安全措施是否有效的測試�����,是保證系統(tǒng)安全性的重要手段���。軟件安全性測試可以分為安全功能測試和安全漏洞測試兩個(gè)方面�。安全功能測試是在軟件的需求分析階段就定制軟件的安全功能需求����,明確軟件的安全功能,在軟件的驗(yàn)收階段測試軟件的相關(guān)功能實(shí)現(xiàn)與否��。安全漏洞是指軟件系統(tǒng)中存在的可被惡意代碼或外來攻擊利用的缺陷,目前的代碼審查工具就是針對此類測試�。目前�����,國際組織在技術(shù)的研究與應(yīng)用��、標(biāo)準(zhǔn)制定和推廣等方面取得了重要的成果���,制定了一系列的關(guān)于軟件安全的標(biāo)準(zhǔn)和指南�,面向軟件安全漏洞測試的工具也逐漸成熟起來����。但是軟件安全性測試零星的摻雜在系統(tǒng)測試中,多數(shù)軟件測試從業(yè)人員意識(shí)不到哪個(gè)用例是安全性測試用例�,隨著軟件事故的發(fā)生,測試人員開始引入軟件安全掃描工具����,如Findbugs,AppScan等��,但工具是面向軟件安全漏洞性的測試�,而忽略了軟件安全功能測試����。
[0003]本發(fā)明提供一種軟件安全性測試用例設(shè)計(jì)方法�����,軟件進(jìn)行安全性分析和評估���,制定相應(yīng)的軟件安全性需求��,于FTA故障樹最小分割的思想��,結(jié)合正逆向分析法��,將可能存在的故障與可能引發(fā)故障的軟件操作結(jié)合起來���,從而生成初步的測試用例,依據(jù)軟件系統(tǒng)測試用例的基本編寫方法����,減少用例的冗余,提高安全測試用例設(shè)計(jì)的科學(xué)性和依據(jù)性�。
【發(fā)明內(nèi)容】
[0004]本發(fā)明針對現(xiàn)有技術(shù)中軟件安全性測試重視度不足,且使用軟件安全性掃描工具進(jìn)行的測試主要針對軟件安全漏洞測試,忽略了軟件安全功能性測試����,軟件安全功能性測試零星的摻雜與軟件系統(tǒng)測試用例中,缺乏系統(tǒng)性����、科學(xué)性的問題����,提供一種軟件安全性測試用例設(shè)計(jì)方法,提高安全測試用例設(shè)計(jì)的科學(xué)性和依據(jù)性����。
[0005]本發(fā)明提出的具體方案是:
一種軟件安全性測試用例設(shè)計(jì)方法:
針對軟件需求,對軟件進(jìn)行安全性分析和評估��,提出安全性需求��;
將軟件安全性需求定義到軟件的功能模塊中��,將模塊中最不希望發(fā)生的故障狀態(tài)作為故障分析的頂事件����,逐層正向分解該故障直至最小故障,構(gòu)建模塊FTA故障樹;
從軟件設(shè)計(jì)的入手羅列可能引發(fā)最小故障的所有的軟件操作���;
結(jié)合軟件功能測試進(jìn)行用例編寫���,對于所羅列的軟件操作進(jìn)行篩選,降低測試用例的冗余�。
[0006]采用等價(jià)類劃分或者邊界值或因果圖的方法結(jié)合軟件功能測試進(jìn)行用例編寫。
[0007]引發(fā)最小故障的軟件操作為多個(gè)���,或者一個(gè)操作引發(fā)多個(gè)軟件最小故障時(shí)�,結(jié)合軟件功能測試進(jìn)行用例初稿的編寫��,再進(jìn)一步采用等價(jià)類劃分或者邊界值或因果圖的方法結(jié)合軟件功能測試進(jìn)行用例編寫��。
[0008]安全性需求主要包括數(shù)據(jù)的私密性和完整性����、訪問控制、權(quán)限控制���、安全管理�。
[0009]本發(fā)明的有益之處是:
本發(fā)明針對軟件需求�����,對軟件進(jìn)行安全性分析和評估,提出安全性需求�;將軟件安全性需求定義到軟件的功能模塊中,將模塊中最不希望發(fā)生的故障狀態(tài)作為故障分析的頂事件��,逐層正向分解該故障直至最小故障�����,構(gòu)建模塊故障樹���;從軟件設(shè)計(jì)的入手羅列可能引發(fā)最小故障的所有的軟件操作;結(jié)合軟件功能測試進(jìn)行用例編寫�,對于所羅列的軟件操作進(jìn)行篩選,降低測試用例的冗余��。提高安全測試用例設(shè)計(jì)的科學(xué)性和依據(jù)性�。
【附圖說明】
[0010]圖1本發(fā)明方法流程示意圖。
【具體實(shí)施方式】
[0011]一種軟件安全性測試用例設(shè)計(jì)方法:
針對軟件需求����,對軟件進(jìn)行安全性分析和評估,提出安全性需求�����;
將軟件安全性需求定義到軟件的功能模塊中,將模塊中最不希望發(fā)生的故障狀態(tài)作為故障分析的頂事件�,逐層正向分解該故障直至最小故障,構(gòu)建模塊故障樹�;
從軟件設(shè)計(jì)的入手羅列可能引發(fā)最小故障的所有的軟件操作;
結(jié)合軟件功能測試進(jìn)行用例編寫�����,對于所羅列的軟件操作進(jìn)行篩選�����,降低測試用例的冗余����。
[0012]根據(jù)上述方法及
【發(fā)明內(nèi)容】
,參照附圖��,對本發(fā)明做進(jìn)一步說明�。
[0013]一種軟件安全性測試用例設(shè)計(jì)方法:
針對軟件需求,對軟件進(jìn)行安全性分析和評估�,提出安全性需求;在軟件測試之初���,可以由項(xiàng)目評審委員會(huì)對該軟件的需求進(jìn)行安全性分析和評估����,提出對應(yīng)的軟件安全性需求;
其中安全性需求主要包括數(shù)據(jù)的私密性和完整性��、訪問控制�、權(quán)限控制、安全管理等�;將軟件安全性需求定義到軟件的功能模塊中,將模塊中最不希望發(fā)生的故障狀態(tài)作為故障分析的頂事件�����,逐層正向分解該故障直至最小故障�,構(gòu)建模塊故障樹�����;
可由軟件測試人員���,依據(jù)軟件安全性需求及軟件設(shè)計(jì)����,分模塊確定FTA故障樹的頂事件,如數(shù)據(jù)完整性被破壞����,采用正向分析法,分解該故障���,例如分解數(shù)據(jù)完整性被破壞為用戶數(shù)據(jù)破壞����、虛擬機(jī)使用歷史數(shù)據(jù)被破壞等����,再次分解該層故障,例如分解用戶數(shù)據(jù)完整性破壞為創(chuàng)建破壞��、修改破壞�����、刪除破壞等����,該層故障不可再次分解,則視為最小故障���;
從軟件設(shè)計(jì)的入手羅列可能引發(fā)最小故障的所有的軟件操作�;
如上述引發(fā)創(chuàng)建破壞的可能軟件操作為輸入值錯(cuò)誤,包括但不限于輸入為空���、亂碼����、過長字符等�。由此我們采用逆向分析法,將程序的操作和故障對應(yīng)起來��;
由于引發(fā)最小故障的軟件操作可能為多個(gè)���,或者一個(gè)操作可以引發(fā)多個(gè)軟件最小故障等實(shí)際應(yīng)用的情況��,可以對軟件安全性測試用例形成初稿�����,再采用等價(jià)類劃分或者邊界值或因果圖的方法結(jié)合軟件功能測試進(jìn)行用例編寫,對于所羅列的軟件操作進(jìn)行篩選�,降低測試用例的冗余。
[0014]綜上����,本發(fā)明軟件進(jìn)行安全性分析和評估��,制定相應(yīng)的軟件安全性需求����,于FTA故障樹最小分割的思想�����,結(jié)合正逆向分析法���,將可能存在的故障與可能引發(fā)故障的軟件操作結(jié)合起來�,從而生成初步的測試用例���,依據(jù)軟件系統(tǒng)測試用例的基本編寫方法�,減少用例的冗余�,提高安全測試用例設(shè)計(jì)的科學(xué)性和依據(jù)性。
【主權(quán)項(xiàng)】
1.一種軟件安全性測試用例設(shè)計(jì)方法����,其特征是 針對軟件需求,對軟件進(jìn)行安全性分析和評估���,提出安全性需求��; 將軟件安全性需求定義到軟件的功能模塊中���,將模塊中最不希望發(fā)生的故障狀態(tài)作為故障分析的頂事件�����,逐層正向分解該故障直至最小故障���,構(gòu)建模塊FTA故障樹; 從軟件設(shè)計(jì)的入手羅列可能引發(fā)最小故障的所有的軟件操作�����; 結(jié)合軟件功能測試進(jìn)行用例編寫�����,對于所羅列的軟件操作進(jìn)行篩選����,降低測試用例的冗余���。2.根據(jù)權(quán)利要求1所述的一種軟件安全性測試用例設(shè)計(jì)方法�,其特征是采用等價(jià)類劃分或者邊界值或因果圖的方法結(jié)合軟件功能測試進(jìn)行用例編寫。3.根據(jù)權(quán)利要求2所述的一種軟件安全性測試用例設(shè)計(jì)方法��,其特征是引發(fā)最小故障的軟件操作為多個(gè)�����,或者一個(gè)操作引發(fā)多個(gè)軟件最小故障時(shí)�����,結(jié)合軟件功能測試進(jìn)行用例初稿的編寫�����,再進(jìn)一步采用等價(jià)類劃分或者邊界值或因果圖的方法結(jié)合軟件功能測試進(jìn)行用例編寫����。4.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的一種軟件安全性測試用例設(shè)計(jì)方法,其特征是安全性需求主要包括數(shù)據(jù)的私密性和完整性�����、訪問控制、權(quán)限控制���、安全管理����。
【專利摘要】本發(fā)明公開一種軟件安全性測試用例設(shè)計(jì)方法����,屬于軟件測試領(lǐng)域;本發(fā)明對軟件進(jìn)行安全性分析和評估���,制定相應(yīng)的軟件安全性需求�,利用FTA故障樹最小分割的思想�����,結(jié)合正逆向分析法����,將可能存在的故障與可能引發(fā)故障的軟件操作結(jié)合起來,從而生成初步的測試用例��,依據(jù)軟件系統(tǒng)測試用例的基本編寫方法����,減少用例的冗余�,提高安全測試用例設(shè)計(jì)的科學(xué)性和依據(jù)性��。
【IPC分類】G06F21/57, G06F11/36
【公開號】CN105335291
【申請?zhí)枴緾N201510770161
【發(fā)明人】趙霞
【申請人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2016年2月17日
【申請日】2015年11月12日