安全测试的基本原则是什么

　　1.培养正确的思维方式

　　只有跳出常规思维定式才能成功执行安全测试。常规测试只需要覆盖目标软件的正常行为，而安全测试人员则要有创造性思维，创造性思维能够帮助我们站在攻击者角度思考各种无法预期的情况，同时能够帮助我们猜测开发人员是如何开发的，如何绕过程序防护逻辑，以某种不安全的行为模式导致程序失效。

　　2.尽早测试和经常测试

　　安全性缺陷和普通Bug没什么区别，越早发现修复成本越低，要做到这一点，较开始的工作就是在软件开发前期对开发和测试团队进行常见安全问题的培训，教他们学会如何检测并修复安全缺陷。虽然新兴的第三方库、工具以及编程语言能够帮助开发人员设计出更安全的程序，但是新的威胁不断出现，开发人员较好能够意识到新产生的安全漏洞对正在开发的软件的影响;测试人员要转变思维方式，从攻击者角度的各个细节测试应用程序，使软件更加安全。

　　3.可能情况下使用源代码

　　测试大体上分为黑盒测试和白盒测试两种。黑盒测试一般使用渗透方法，这种方法带有明显的黑盒测试本身的不足，需要大量测试用例进行覆盖，且测试完成后仍无法确定软件是否存在风险。现在，白盒测试中源代码扫描成为一种越来越流行的技术，使用源代码扫描工具对软件进行代码扫描，一方面可以找出潜在的风险，从内对软件进行检测，提高代码的安全性;另一方面也可以进一步提高代码的质量。黑盒的渗透测试和白盒的源代码扫描内外结合，可以使软件的安全性得到极大程度的提高。

　　4.测试结果文档化

　　测试总结的时候，明智且有效的做法是将测试行动和结果清晰准确地记录在文档中，产生一份测试报告。该报告较好包括漏洞类型、问题引起的安全威胁及严重程度、用于发现问题的测试技术、漏洞的修复、漏洞风险等。一份好的测试报告应该帮助开发人员准确定位软件安全漏洞，从而有效进行漏洞修补，使软件更加安全可靠。