致测试同仁们：让我们做安全测试吧！(3)

1. 目标类似

不管是常规测试还是安全测试，都有一个原则：预防胜于检测。这个比较容易理解，不管是常规测试的缺陷也好，还是安全测试的漏洞也好，如果能预防使它不发生，就省了后期的修复与验证工作。如果不能成功的预防缺陷，能早一些发现的话，肯定比晚发现的修复的成本低。

2. 在软件生命周期中的过程类似

以敏捷开发团队为例，常规测试人员在各个阶段的事情，安全测试人员也要做：

• 了解业务的需求，以避免混乱的测试优先级；
• 针对业务与系统功能设计用例：常规测试需要关注系统功能，安全测试同样也不能脱离系统功能；
• 与其他角色一起启动需求的开发：沟通测试用例，避免因为沟通不足造成返工；
• 与其他角色一起在开发环境验收需求：尽早提供反馈，发现缺陷了开发可以马上修正
• 在测试环境进行全面测试：针对端到端的场景进行测试，尽可能把第三方系统（如果有的话）也包括进来；
• 分析并总结测试结果：整理问题清单，排列优先级；
• 反馈测试结果：把测试结果反馈给团队等干系人。

  

3. 测试用例很多重合

在面向终端用户的测试场景上，常规测试的用例与安全测试的用例是非常类似的。比如对于登录系统的功能，不管是常规测试还是安全测试，我们都会测试用户输入正确的用户名是否可以登录，输入错误的用户名或密码是否系统会如何反应。

比如我曾经工作的一个搜集报税人信息的系统，不管是常规测试还是安全测试，常规测试会测试系统的登录，系统信息的录入与编辑，文件的上传等等，安全测试也会测试这些业务场景。

因为在每一个终端用户可以操作的场景上，都可能会有安全漏洞存在。所以，有了常规测试的经验，我们就相当于有了不少安全测试用例的储备。

原文转自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test