安全测试 IBM APPSCAN 01

安全测试是什么？

除普通测试，渗透测试外，在软件系统基本完成即将发布阶段，为了发现系统安全问题并为相关问题提出相应解决方案的一种测试，使系统不被非法入侵，不受各种因素干扰。

安全测试和普通测试，渗透测试有什么不同？

普通测试，以发现系统存在的BUG为目标，以用户无心的非法输入和操作为前提，只针对系统功能；

渗透测试，以验证系统是否存在可能被入侵等安全问题为目的，以攻击者的角度为前提，有针对性的对系统进行攻击，只验证安全性，不提供解决方案；

安全测试，以发现系统安全问题并为相关问题提出相应解决方案为目的，以攻击者的思考方式和防御者的角度为前提，全面的对系统进行分析，尽最大可能找出问题并提供解决方案，针对的不仅仅是系统功能，还有系统所处的运行环境，系统数据本身的安全属性等系统外部因素。

方法有哪些？

模式匹配，将程序看成字符串；

状态机模型，将程序看成状态机；

黑盒模型，将程序看成小黑盒子；

百合模型，将程序看作路径的集合。

工具有哪些？

IBM APPSCAN