CN115659347A - 一种安全测试方法、装置、电子设备和存储介质 - Google Patents
一种安全测试方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115659347A CN115659347A CN202211173608.5A CN202211173608A CN115659347A CN 115659347 A CN115659347 A CN 115659347A CN 202211173608 A CN202211173608 A CN 202211173608A CN 115659347 A CN115659347 A CN 115659347A
- Authority
- CN
- China
- Prior art keywords
- project
- safety test
- test
- parameter
- parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种安全测试方法、装置、电子设备和存储介质,其中,该方法包括:确定待测软件项目的项目属性信息;根据所述项目属性信息和预设工作量模型确定安全测试项目参数,其中,所述预设工作量模型至少包括所述项目属性信息与所述安全测试项目参数的映射关系;基于预设安全测试模板和所述安全测试项目参数生成安全测试规划;根据所述安全测试规划执行安全测试。本发明实施例实现软件系统的测试工作量的准确确定,可提高软件安全测试的全面性和效率,可增强用户的使用体验。
Description
技术领域
本发明涉及计算机应用技术领域,尤其涉及一种安全测试方法、装置、电子设备和存储介质。
背景技术
安全测试用于发现应用软件中的漏洞、隐患和风险,在软件的整个开发生命周期中起到了重要的作用。软件系统中安全测试的计划制定直接影响软件系统的安全性。软件系统在安全测试之前需要对测试量进行确定,以便确定准确的安全测试计划。目前,测试量的确定仅依靠功能点或者工作量进行估算,主观性影响较大,造成安全测试环节人力投入存在依据不足或者仅靠测试经理经验安排,软件系统的测试不够全面,导致软件系统存在漏洞未被检出。目前亟需一种科学准确的确定测试工作量,以提高安全测试的全面性和效率。
发明内容
本发明提供了一种安全测试方法、装置、电子设备和存储介质,以实现软件系统的测试工作量的准确确定,可提高软件安全测试的全面性和效率,可增强用户的使用体验。
根据本发明的一方面,提供了一种安全测试方法,其中,该方法包括:
确定待测软件项目的项目属性信息;
根据所述项目属性信息和预设工作量模型确定安全测试项目参数,其中,所述预设工作量模型至少包括所述项目属性信息与所述安全测试项目参数的映射关系;
基于预设安全测试模板和所述安全测试项目参数生成安全测试规划;
根据所述安全测试规划执行安全测试。
根据本发明的另一方面,提供了一种安全测试装置,其中,该装置包括:
项目参数模块,用于确定待测软件项目的项目属性信息;
测试参数模块,用于根据所述项目属性信息和预设工作量模型确定安全测试项目参数,其中,所述预设工作量模型至少包括所述项目属性信息与所述安全测试项目参数的映射关系;
规划确定模块,用于基于预设安全测试模板和所述安全测试项目参数生成安全测试规划;
测试执行模块,用于根据所述安全测试规划执行安全测试。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的安全测试方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的安全测试方法。
本发明实施例的技术方案,通过确定待测如软件项目的项目属性信息,按照预设工作量模型确定项目属性信息对应的安全测试项目参数,将安全测试项目参数填充到预设安全测试模板以生成安全测试规划,根据按照测试规划执行安全测试,实现软件系统的测试工作量的准确确定,可提高软件安全测试的全面性和效率,可增强用户的使用体验。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种安全测试方法的流程图;
图2是根据本发明实施例二提供的另一种安全测试方法的流程图;
图3是根据本发明实施例三提供的一种安全测试方法的示例图;
图4是根据本发明实施例四提供的一种安全测试装置的结构示意图;
图5是实现本发明实施例的安全测试方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供了一种安全测试方法的流程图,本实施例可适用于软件项目进行安全测试的情况,该方法可以由安全测试装置来执行,该安全测试装置可以采用硬件和/或软件的形式实现,该安全测试装置可配置于服务器中。如图1所示,该方法包括:
步骤110、确定待测软件项目的项目属性信息。
其中,待测软件项目可以为需要进行安全测试的软件,待测软件项目可以包括完成开发的应用软件或开发过程中的应用软件。项目属性信息可以是反映待测软件项目规模的信息,项目属性信息可以包括项目类型、业务领域、功能点规模等。
在本发明实施例中,可以针对待测软件项目获取对应的项目属性信息,例如,可以通过对待测软件项目的说明书进行文字识别从而提取其中的项目类型、业务领域以及功能点规模等信息作为项目属性信息,还可以通过由软件开发人员直接输入待测软项目的项目属性信息。
步骤120、根据项目属性信息和预设工作量模型确定安全测试项目参数,其中,预设工作量模型至少包括项目属性信息与安全测试项目参数的映射关系。
其中,预设工作量模型可以是通过项目属性信息确定安全测试项目产参数的模型,预设工作量模型可以通过历史中的安全测试数据确定,预设工作量模型具体可以为神经网络模型、支持向量机模型等,预设工作量模型的输入可以为项目属性信息,而输出可以为安全测试项目参数,该安全测试项目参数可以包括执行安全测试的参数,可以包括功能安全测试的数量、非功能安全测试的数量、漏洞扫描的数量以及渗透测试的数量等。
在本发明实施例中,预设工作量模型可以至少包括项目属性信息与安全测试项目参数的映射关系,该映射关系可以预先经过海量数据训练生成,可以理解的是,训练预设工作量模型内映射关系的数据可以为历史安全测试的实际数据,例如,可以为安全测试结束后,收集到的各个安全测试中的测试具体情况以及测试项目的项目属性信息。具体的,可以将预先训练的预设工作量模型进行加载,并将项目属性信息输入到该预设工作量模型,可以通过预设工作量模型内设置的映射关系确定该项目属性信息对应的安全测试项目参数。
步骤130、基于预设安全测试模板和安全测试项目参数生成安全测试规划。
其中,预设安全测试模板可以是用于生成安全测试规划的模板文件,预设安全测试模板内可以由一个或多个安全测试的测试项组成,每个测试项的具体参数可以为空白或者模板值,预设安全测试模板可以文本或者HTML网页的形式存在。安全测试规划可以是用于辅助执行安全测试的信息,安全测试规划可以包括安全测试执行的安全测试内容以及安全测试用例。
在本发明实施例中,可以提取预先存储的预设安全测试模板,并将预设工作量模型生成的安全测试项目参数填充到该预设安全测试模板,可以将完成填充的预设安全测试模板作为安全测试规划,可以理解的是,预设安全测试模板与安全测试项目参数之间可以存在对应关系,可以按照该对应关系实现填充。
步骤140、根据安全测试规划执行安全测试。
在本发明实施例中,可以按照该安全测试规划执行安全测试,例如,执行安全测试的设备可以读取安全测试规划,并按照该安全测试规划执行安全测试,或者,设备可以将安全测试规划进行可视化展示,用户可以按照展示的可视化信息执行安全测试。
本发明实施例,通过确定待测如软件项目的项目属性信息,按照预设工作量模型确定项目属性信息对应的安全测试项目参数,将安全测试项目参数填充到预设安全测试模板以生成安全测试规划,根据按照测试规划执行安全测试,实现软件系统的测试工作量的准确确定,可提高软件安全测试的全面性和效率,可增强用户的使用体验。
实施例二
图2是根据本发明实施例二提供的另一种安全测试方法的流程图,本发明实施例是在上述发明实施例基础上的具体化,参见图2,本发明实施例提供的方法具体包括如下步骤:
步骤210、按照待测软件项目的标识信息在至少一个数据源采集说明文件。
其中,标识信息可以是待测软件项目具有的标识特征,不同的待测软件项目的标识信息可以不同的,在一些实施例中,标识信息可以包括待测软件项目的项目标号、项目版本号、软件名称等。数据源可以是待测软件项目的说明文件的数据来源,可以包括开发文档数据源或者开发说明书数据源等,说明文件可以是对待测软件项目进行文字描述的信息集合,说明文件可以包括软件开发文档或者软件说明书等信息。
在本发明实施例中,可以对接不同的数据源,可以在数据源中按照待测软件项目的标识信息匹配相应的说明文件,可以接收匹配到的说明文件。可以理解的是,与不同的数据源可以采用不同的数据对接方式,如,可以采用数据队列对接到数据源或者采用数据接口对接到数据源。
步骤220、在说明文件内提取项目类型、业务领域以及功能点规模参数作为项目属性信息。
在本发明实施例中,可以在接收到的说明文件内提取项目类型、业务领域和功能点规模参数作为项目属性参数,其中,项目类型可以是反映待测软件项目类型的信息,可以包括项目名称或者软件编号,业务领域可以是待测软件项目处理的业务所属的领域,可以包括金融、游戏、购物、娱乐等,而功能点规模参数可以是待测软件项目包括功能点数量的信息。
步骤230、将项目属性信息内的项目类型、业务领域、功能点规模参数输入预设工作量模型内的映射关系。
在本发明实施例中,可以将项目属性信息内的项目类型、业务领域、功能点规模参数等作为预设工作量模型的输入,可以理解的是,预设工作量模型内映射关系可以为一个或多个,项目类型、业务领域、功能点规模参数等信息可以分别输入到预设工作量模型中各自的映射关系或一同输入到预设工作量模型共同对应的映射关系。
步骤240、采集映射关系的输出结果作为安全测试项目参数。
在本发明实施例中,可以对预设工作量模型中的映射关系的输出结果进行监测,可以将映射关系的输出结果作为安全测试项目参数。在一些实施例中,安全测试项目参数可以包括功能安全测试要点数量、非功能安全测试要点数量、漏洞扫描要点数量、渗透测试要点数量等。
步骤250、读取预设安全测试模板的模板文件。
在本发明实施例中,可以将预先配置的模板文件读取到设备,其中,模板文件可以采用持久化存储。
步骤260、按照模板文件显示预设安全测试模板。
具体的,可以将模板文件作为预设安全测试模板进行可视化展示,便于用户对预设安全测试模板进行读取。在一些实施例中,用户可以对可视化的预设安全测试模板进行调制,增加或者减少安全测试项目,以提高预设安全测试模板对待测软件项目的适配程度,提高安全测试的全面性。
步骤270、将安全测试项目参数按照参数类型填充到预设安全测试模板。
其中,参数类型可以是反映安全测试项目参数的数据类型的信息,参数类型可以包括功能点、非功能点参数、漏洞扫描、渗透测试等,参数类型的取值可以具体为数字、字母或特殊符号中的一种或多种。
在本发明实施例中,预设安全测试模板中每个代填参数可以与参数类型绑定,针对各安全测试项目参数的参数类型在预设安全测试模板内查找对应的位置,并将该安全测试项目参数填充到该预设安全测试模板以作为安全测试规划。
步骤280、根据安全测试规划执行安全测试。
步骤290、确定安全测试的实际项目规模参数,并根据实际项目规模参数调整预设工作量模型内映射关系。
其中,实际项目规模参数可以是在安全测试过程中实际执行情况,可以包括实际的功能安全测试情况、非功能安全测试情况、漏洞扫描情况、渗透测试情况以及工作量等。
在本发明实施例中,可以统计安全测试过程中的实际项目规模参数,并按照该实际项目规模参数对预设工作量模型中的映射关系进行调整,以提高安全测试项目参数预测的准确性。
本发明实施例,通过标识信息在各数据源内采集待测软件项目的说明文件,在说明文件内匹配项目类型、业务领域以及功能点规模参数作为项目属性信息,将采集到的项目属性信息输入到预设工作量模型内的映射关系并获取输出结果作为安全测试项目参数,读取预设安全测试模板的模板文件,将模板文件显示为预设安全测试模板,将安全测试项目参数按照参数类型填充到预设安全测试模板作为安全测试规划,基于安全测试规划执行安全测试,统计安全测试的实际项目规模参数,按照该实际项目规模参数调整预设工作量模型内映射关系,实现软件系统的测试工作量的准确确定,可提高软件安全测试的全面性和效率,可增强用户的使用体验。
进一步的,在上述发明实施例的基础上,安全测试项目参数包括以下至少之一:计划阶段参数、准备阶段参数、执行阶段参数、总结阶段参数和工作量参数,所述计划阶段参数至少包括安全功能测试点数量、非安全功能测试点数量、漏洞扫描测试要点数量、渗透测试要点数量,所述准备阶段参数包括以下至少之一:安全测试用例数量、非安全测试用例数、功能界面数、渗透脚本数量,所述执行阶段参数包括以下至少之一:安全测试用例执行数量、非安全测试用例执行数量、界面扫描数量、渗透脚本执行数量,所述总结阶段参数包括固定参数值,所述工作量参数包括以下至少之一计划工作量参数、准备工作量参数、执行工作量参数、总结工作量参数。
在本发明实施例中,安全测试项目参数可以按照阶段划分为计划阶段参数、准备阶段参数、执行阶段参数、总结阶段参数和工作量参数,在计划阶段参数至少包括安全功能测试点数量、非安全功能测试点数量、漏洞扫描测试要点数量、渗透测试要点数量,在准备阶段参数包括安全测试用例数量、非安全测试用例数、功能界面数、渗透脚本数量,在执行阶段参数包括安全测试用例执行数量、非安全测试用例执行数量、界面扫描数量、渗透脚本执行数量,以及计划工作量参数、准备工作量参数、执行工作量参数、总结工作量参数等。
进一步的,在上述发明实施例的基础上,根据所述实际工作量调整所述预设工作量模型内所述映射关系,包括:
生成所述实际项目规模参数与所述安全测试规划的安全测试项目参数的比较结果;按照所述比较结果调整所述预设工作量模型内所述映射关系的模型参数。
在本发明实施例中,可以将实际项目规模参数安全测试项目参数进行数值比较,按照该数值比较结果对映射关系中的模型参数进行调整,以提高映射关系的准确程度。在一个实施例中,在比较结果大于零时,可以减少模型参数的取值,使得安全测试项目参数接近实际项目规模参数。
实施例三
图3是根据本发明实施例三提供的一种安全测试方法的示例图,参见图3,本发明实施例通过支持向量机实现预设工作量模型,以弥补主观经验值的局限性,设置合理的安全测试种类,以提高软件项目管理的精细化程度以及测试的全面性,可提高项目开发效率。本发明实施例提供的安全测试方法具体包括如下步骤:
步骤1、根据以往实际安全测试过程中的工作量情况对支持向量机模型进行参数赋值以及回归拟合,确定支持向量机模型的参数初始值。
步骤2、确定待测软件项目的项目类型,分析项目安全需求,根据参数初始值估算安全测试工作量,并按照安全测试工作量进行安全测试。
步骤3、完成软件项目的安全测试后,将实际值与计划值进行比较,并对支持向量机模型的模型参数进行优化调整。
步骤4、根据优化调整后的支持向量机模型估算下一个软件项目的测试工作量。
其中,确定支持向量机模型的参数初始值以及安全测试过程可以包括:
(1)根据项目类型、业务领域、功能点规模等确定项目规模参数;
(2)填写下表中安全测试项目内带“XX”的数值;
其中,参数定义如下:
其中,复杂度参数值1=x1*X1+x2*X2+x3*X3+x4*X4+i1,
复杂度参数值2=y1*Y1+y2*Y2+y3*Y3+y4*Y4+i2,
复杂度参数值3=z1*Z1+z2*Z2+z3*Z3+z4*Z4+i3。
(3)根据支持向量机模型确定的项目规模参数确定安全测试计划工作量;
(4)按照安全测试计划工作量分配测试人力资源,在安全测试时记录各阶段的实际工作量。
(5)软件项目安全测试结束后,收集、分析安全测试各阶段的实际工作量,纳入参数计算模型中,根据支持向量机数据挖掘方法对参数和拟合关系进行优化,为参数迭代提供实际统计数据、定期更新计算模型。
实施例四
图4是根据本发明实施例四提供的一种安全测试装置的结构示意图。如图4所示,该装置包括:项目参数模块301、测试参数模块302、规划确定模块303和测试执行模块304。
项目参数模块301,用于确定待测软件项目的项目属性信息。
测试参数模块302,用于根据所述项目属性信息和预设工作量模型确定安全测试项目参数,其中,所述预设工作量模型至少包括所述项目属性信息与所述安全测试项目参数的映射关系。
规划确定模块303,用于基于预设安全测试模板和所述安全测试项目参数生成安全测试规划。
测试执行模块304,用于根据所述安全测试规划执行安全测试。
本发明实施例,通过项目参数模块确定待测如软件项目的项目属性信息,测试参数模块按照预设工作量模型确定项目属性信息对应的安全测试项目参数,规划确定模块将安全测试项目参数填充到预设安全测试模板以生成安全测试规划,测试执行模块根据按照测试规划执行安全测试,实现软件系统的测试工作量的准确确定,可提高软件安全测试的全面性和效率,可增强用户的使用体验。
可选的,安全测试模块还包括:模型调整模块,用于确定所述安全测试的实际项目规模参数,并根据所述实际项目规模参数调整所述预设工作量模型内所述映射关系。
可选的,项目参数模块301包括:
文件采集单元,用于按照所述待测软件项目的标识信息在至少一个数据源采集说明文件。
属性提取单元,用于在所述说明文件内提取项目类型、业务领域以及功能点规模参数作为所述项目属性信息。
可选的,测试参数模块302包括:
参数输入单元,用于将所述项目属性信息内的项目类型、业务领域、功能点规模参数输入所述预设工作量模型内的映射关系。
结果输出单元,用于采集所述映射关系的输出结果作为所述安全测试项目参数。
可选的,测试参数模块302中安全测试项目参数包括以下至少之一:计划阶段参数、准备阶段参数、执行阶段参数、总结阶段参数和工作量参数,所述计划阶段参数至少包括安全功能测试点数量、非安全功能测试点数量、漏洞扫描测试要点数量、渗透测试要点数量,所述准备阶段参数包括以下至少之一:安全测试用例数量、非安全测试用例数、功能界面数、渗透脚本数量,所述执行阶段参数包括以下至少之一:安全测试用例执行数量、非安全测试用例执行数量、界面扫描数量、渗透脚本执行数量,所述总结阶段参数包括固定参数值,所述工作量参数包括以下至少之一计划工作量参数、准备工作量参数、执行工作量参数、总结工作量参数。
可选的,规划确定模块303包括:
模板读取单元,用于读取所述预设安全测试模板的模板文件。
模板显示单元,用于按照所述模板文件显示所述预设安全测试模板。
参数填充单元,用于将所述安全测试项目参数按照参数类型填充到所述预设安全测试模板。
可选的,模型调整模块具体用于:生成所述实际项目规模参数与所述安全测试规划的安全测试项目参数的比较结果;按照所述比较结果调整所述预设工作量模型内所述映射关系的模型参数。
本发明实施例所提供的安全测试装置可执行本发明任意实施例所提供的安全测试方法,具备执行方法相应的功能模块和有益效果。
实施例五
图5是实现本发明实施例的安全测试方法的电子设备的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如安全测试方法。
在一些实施例中,安全测试方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的安全测试方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行安全测试方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种安全测试方法,其特征在于,包括:
确定待测软件项目的项目属性信息;
根据所述项目属性信息和预设工作量模型确定安全测试项目参数,其中,所述预设工作量模型至少包括所述项目属性信息与所述安全测试项目参数的映射关系;
基于预设安全测试模板和所述安全测试项目参数生成安全测试规划;
根据所述安全测试规划执行安全测试。
2.根据权利要求1所述方法,其特征在于,还包括:
确定所述安全测试的实际项目规模参数,并根据所述实际项目规模参数调整所述预设工作量模型内所述映射关系。
3.根据权利要求1所述方法,其特征在于,所述确定待测软件项目的项目属性信息,包括:
按照所述待测软件项目的标识信息在至少一个数据源采集说明文件;
在所述说明文件内提取项目类型、业务领域以及功能点规模参数作为所述项目属性信息。
4.根据权利要求1所述方法,其特征在于,所述根据所述项目属性信息和预设工作量模型确定安全测试项目参数,包括:
将所述项目属性信息内的项目类型、业务领域、功能点规模参数输入所述预设工作量模型内的映射关系;
采集所述映射关系的输出结果作为所述安全测试项目参数。
5.根据权利要求1或4所述方法,其特征在于,所述安全测试项目参数包括以下至少之一:计划阶段参数、准备阶段参数、执行阶段参数、总结阶段参数和工作量参数,所述计划阶段参数至少包括安全功能测试点数量、非安全功能测试点数量、漏洞扫描测试要点数量、渗透测试要点数量,所述准备阶段参数包括以下至少之一:安全测试用例数量、非安全测试用例数、功能界面数、渗透脚本数量,所述执行阶段参数包括以下至少之一:安全测试用例执行数量、非安全测试用例执行数量、界面扫描数量、渗透脚本执行数量,所述总结阶段参数包括固定参数值,所述工作量参数包括以下至少之一计划工作量参数、准备工作量参数、执行工作量参数、总结工作量参数。
6.根据权利要求1所述方法,其特征在于,所述基于预设安全测试模板和所述安全测试项目参数生成安全测试规划,包括:
读取所述预设安全测试模板的模板文件;
按照所述模板文件显示所述预设安全测试模板;
将所述安全测试项目参数按照参数类型填充到所述预设安全测试模板。
7.根据权利要求2所述方法,其特征在于,所述根据所述实际工作量调整所述预设工作量模型内所述映射关系,包括:
生成所述实际项目规模参数与所述安全测试规划的安全测试项目参数的比较结果;
按照所述比较结果调整所述预设工作量模型内所述映射关系的模型参数。
8.一种安全测试装置,其特征在于,包括:
项目参数模块,用于确定待测软件项目的项目属性信息;
测试参数模块,用于根据所述项目属性信息和预设工作量模型确定安全测试项目参数,其中,所述预设工作量模型至少包括所述项目属性信息与所述安全测试项目参数的映射关系;
规划确定模块,用于基于预设安全测试模板和所述安全测试项目参数生成安全测试规划;
测试执行模块,用于根据所述安全测试规划执行安全测试。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的安全测试方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的安全测试方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211173608.5A CN115659347A (zh) | 2022-09-26 | 2022-09-26 | 一种安全测试方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211173608.5A CN115659347A (zh) | 2022-09-26 | 2022-09-26 | 一种安全测试方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115659347A true CN115659347A (zh) | 2023-01-31 |
Family
ID=84984900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211173608.5A Pending CN115659347A (zh) | 2022-09-26 | 2022-09-26 | 一种安全测试方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115659347A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118093438A (zh) * | 2024-04-23 | 2024-05-28 | 北京中电科电子装备有限公司 | 一种晶圆软件安全性测试方法及系统、设备、介质 |
-
2022
- 2022-09-26 CN CN202211173608.5A patent/CN115659347A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118093438A (zh) * | 2024-04-23 | 2024-05-28 | 北京中电科电子装备有限公司 | 一种晶圆软件安全性测试方法及系统、设备、介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115576828A (zh) | 一种测试用例生成方法、装置、设备及存储介质 | |
| CN115934550A (zh) | 一种测试方法、装置、电子设备及存储介质 | |
| CN115269431A (zh) | 一种接口测试方法、装置、电子设备及存储介质 | |
| CN115599679A (zh) | 一种测试规则库更新方法、装置、电子设备及存储介质 | |
| CN114443493A (zh) | 一种测试案例生成方法、装置、电子设备和存储介质 | |
| CN115496157A (zh) | 分类模型训练方法、装置、电子设备及存储介质 | |
| CN115328736A (zh) | 一种探针部署方法、装置、设备和存储介质 | |
| CN115659347A (zh) | 一种安全测试方法、装置、电子设备和存储介质 | |
| CN114417822A (zh) | 用于生成模型解释信息的方法、装置、设备、介质和产品 | |
| CN114693116A (zh) | 代码评审有效性的检测方法及装置、电子设备 | |
| CN114330221A (zh) | 计分板实现方法、计分板、电子设备及存储介质 | |
| CN113052325A (zh) | 在线模型的优化方法、装置、设备、存储介质及程序产品 | |
| CN112905743A (zh) | 文本对象检测的方法、装置、电子设备和存储介质 | |
| CN115098405B (zh) | 软件产品的测评方法、装置、电子设备及存储介质 | |
| CN117150215B (zh) | 一种考核结果确定方法、装置、电子设备及存储介质 | |
| CN115374010A (zh) | 功能测试方法、装置、设备及存储介质 | |
| CN117724980A (zh) | 软件框架性能的测试方法、装置、电子设备和存储介质 | |
| CN115629690A (zh) | 一种fio工作文件的生成方法、装置、设备及存储介质 | |
| CN117010760A (zh) | 等级评估方法、装置、设备、存储介质及程序产品 | |
| CN115495380A (zh) | 测试用例生成方法、装置、电子设备及存储介质 | |
| CN115617676A (zh) | 一种软件测试范围确定方法、装置、电子设备和存储介质 | |
| CN115794830A (zh) | 数据值确定方法、装置、电子设备及存储介质 | |
| CN113391989A (zh) | 程序评估方法、装置、设备、介质及程序产品 | |
| CN113901314A (zh) | 处理用户查询内容的方法、装置、设备和介质 | |
| CN115827743A (zh) | 一种审核方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |