iT邦幫忙

1

NIST SP 800-53A R4-測試深度&測試範圍

“覆蓋範圍屬性解決了評估的範圍或廣度。” (NIST SP 800-53A)測試的範圍與測試範圍有關,例如,測試了多少個樣品。軟件測試樣本的粒度可以是代碼行,功能,測試用例,決策分支等。
“深度屬性解決了嚴謹和水平評估的細節。” (NIST SP 800-53A)測試的深度與對系統的了解程度有關。黑框表示測試人員對系統一無所知,而白框表示測試人員了解系統的內部操作。
全面的測試意味著測試人員了解系統的內部操作(白盒)並使用更多的樣本。用戶界面設計和數據庫架構與內部操作或測試的深度屬性有關。
. A.在測試之前檢查用戶界面設計
. B.選擇足夠大的濫用案例樣本
. C.要求開發人員介紹數據庫模式

以下是NIST SP 800-53A的摘錄:
測試深度
. 基本測試
. 測試方法(也被稱為黑盒測試),它假定沒有知識的評估對象的內部結構和實現細節。
. 使用針對功能的功能說明和針對活動的高級流程描述來進行此類測試。
. 基本測試可讓您對安全性和隱私控制有一定的了解,以便確定控制措施是否已實施且沒有明顯的錯誤。
. 重點測試
. 測試方法(也稱為灰盒測試),該方法假定您對評估對象的內部結構和實現細節有所了解。
. 使用功能規格和有限的系統體系結構信息(例如,高級設計)進行機制以及針對活動集成到操作環境中的高級過
程描述和高級描述,可以進行此類測試。
. 重點測試使您對安全和隱私控制有一定的了解,這些安全和隱私控制對於確定控件是否已實施且沒有明顯的錯誤
以及是否有理由相信控件正確實施和按預期運行而言是必不可少的。
. 綜合測試
. 測試方法(也被稱為白箱測試),它假定明確的和實質性的知識考核對象的內部結構和實現細節。
. 使用功能規範,廣泛的系統架構信息(例如,高級別設計,低級設計)和實現表示形式(例如,源代碼,示意
圖)進行機制以及高級過程描述和詳細說明,進行此類測試描述到活動的操作環境中的集成。
. 全面的測試可讓您對安全和隱私控制有一定的了解,這些安全和隱私控制可用於確定控制措施是否已實施且沒
有明顯的錯誤,是否有進一步增加的理由使人們確信控制措施是否已正確實施並在持續,一致的情況下按預期
運行基礎,並支持持續改進控件的有效性。

測試範圍
. 基本測試
使用的評估對象的代表性樣本(按類型內的類型和數量)測試提供覆蓋水平需要確定的安全和隱私控制是否實施和免費明顯錯誤的。
. 重點測試
使用評估對象的代表性樣本(按類型和類型內的數量)和其他特定評估對象的測試,這些樣本對實現評估目標特別重要,以提供確定是否實施安全和隱私控制以及沒有明顯的錯誤以及是否有增加的信心基礎:
. 控件正確實施並按預期運行。
. 綜合測試
大的評估對像樣本(按類型和類型中的數量)和其他特定評估對象的測試,這些樣本對實現評估目標特別重要,以
提供確定是否實施安全和隱私控制所必需的覆蓋範圍並且沒有明顯的錯誤,以及是否有進一步增加的信心基礎:
. 已正確實施並在持續,一致的基礎上按預期運行;並且
. 支持持續改進控件的有效性。

參考
. NIST SP 800-53A

資料來源: Wentz Wu QOTD-20210126


尚未有邦友留言

立即登入留言