軟件為什么需要安全測試

軟件進行安全測試原因如下：

• 制定安全測試策略：明確軟件安全測試的目標、范圍、標準、風險控制要素、測試資源、成本與效益、由誰在什么時間進行測試等，制定軟件安全測試的基本原則。特別是對于由第三方執行的安全測試，明確測試的約束條件，知道測試的邊界是非常重要的。

• 設計基于風險的安全測試計劃：明確測試目的、方法和測試的重點領域等，測試計劃也可以用于驗證軟件產品的可接受程度。

• 規范化的軟件安全需求：軟件安全需求是測試需求的主要內容，也是軟件安全測試要實現的目標。通過針對待測試對象的安全需求分析與轉換，生成測試需求和測試用例。

• 軟件結構風險分析：軟件安全測試必須使用基于風險的方法，在對軟件系統結構進行分析的基礎上，對軟件的安全性進行充分評估，在一定的時間成本約束下，將測試適當聚焦于重點安全領域問題。

• 執行軟件安全測試：通過白盒測試、黑盒測試等方法，對軟件安全功能和安全漏洞等進行測試。

• 測試環境管理：設置穩定、可控的測試環境，使測試人員花費較少的時間完成測試，保證每一個被提交的漏洞都能夠準確地重現。并且在用戶環境下進行系統滲透測試時，在安全測試之后需要對現場進行清理，保證系統恢復到測試前的狀態。

• 測試數據管理：軟件安全測試用例、測試輸出結果和測試生成報告等都要進行文檔化，以保證測試能夠有效地幫助發現軟件存在的安全問題，并不斷改進。

回答所涉及的環境：聯想天逸510S、Windows 10。