脆弱性測試的目的是什么

脆弱性測試的目的如下：

• 在有限的時間和資源下進行測試：找出軟件所有的錯誤和缺陷是不可能的，軟件測試不能無限進行下去，應適時終止。在軟件安全測試中同樣如此，應該通過威脅建模等方法，優先測試高風險模塊。

• 軟件安全沒有銀彈：測試只能證明軟件存在錯誤而不能證明軟件沒有錯誤。測試無法顯示潛在的錯誤和缺陷，繼續進一步測試可能還會找到其他錯誤和缺陷。同理，安全測試只能證明系統存在安全漏洞，并不能證明應用程序是安全的，只用于驗證所設立安全策略的有效性，安全策略是基于威脅分析階段假設選擇的。

• 測試應基于客戶需求：所有的測試工作都應該建立在滿足客戶需求的基礎上，從客戶角度來看，最嚴重的錯誤就是軟件無法滿足要求。有時候，軟件產品的測試結果非常完美，但卻不是客戶最終想要的產品，那么軟件產品的開發就是失敗的，而測試工作也是沒有任何意義的。因此測試應依照客戶的需求配置環境，并且按照客戶的使用習慣進行測試并評價結果。

• 測試要盡早進行：軟件的錯誤存在于軟件生命周期的各個階段，因此應該盡早開展測試工作，把軟件測試貫穿到軟件生命周期的各個階段中，這樣測試人員能夠盡早地發現和預防錯誤，降低錯誤修復的成本。盡早地開展測試工作有利于幫助測試人員了解軟件產品的需求和設計，從而預測測試的難度和風險，制訂出完善的計劃和方案，提高測試的效率。

• 窮盡測試是不可能的：由于時間和資源的限制，進行完全(各種輸入和輸出的全部組合)的測試是不可能的測試人員可以根據測試的風險和優先級等確定測試的關注點，從而控制測試的工作量，在測試成本、風險和收益之間求得平衡。

• 遵循GoodEnough原則：GoodEnough原則是指測試的投入與產出要適當權衡，形成充分的質量評估過程，這個過程建立在測試花費的代價之上。測試不充分無法保證軟件產品的質量，但測試投入過多會造成資源的浪費。隨著測試資源投入的增加，測試的產出也是增加的，但當投入達到一定的比例后，測試的效果就不會明顯增強了。因此在測試時要根據實際要求和產品質量考慮測試的投入，最好使測試投入與產出達到一個GoodEnough狀態。

• 測試缺陷要符合“二八”定理：缺陷的“二八”定理也稱為Pareto原則、缺陷集群效應，一般情況下，軟件80%缺陷會集中在20%模塊中，缺陷并不是平均分布的。因此在測試時，要抓住主要矛盾，如果發現某些模塊比其他模塊具有更多的缺陷，則要投入更多的人力、精力重點測試這些模塊以提高測試效率。

• 避免缺陷免疫：我們都知道蟲子的抗藥性原理，即一種藥物使用久了，蟲子就會產生抗藥性。而在軟件測試中，缺陷也是會產生免疫性的。同樣的測試用例被反復使用，發現缺陷的能力就會越來越差;測試人員對軟件越熟悉越會忽略一些看起來比較小的問題，發現缺陷的能力也越差，這種現象被稱為軟件測試的“殺蟲劑”現象。它主要是由于測試人員沒有及時更新測試用例或者是對測試用例和測試對象過于熟悉，形成了思維定式。

• 盡量避免測試的隨意性：軟件安全測試是有組織、有計劃、有步驟的活動，要嚴格按照測試計劃進行，避免測試的隨意性。

回答所涉及的環境：聯想天逸510S、Windows 10。