[开发测试]安全测试跟常规软件测试有什么关联？

1. 目标类似
   不管是常规测试还是安全测试，都有一个原则：预防胜于检测。这个比较容易理解，不管是常规测试的缺陷也好，还是安全测试的漏洞也好，如果能预防使它不发生，就省了后期的修复与验证工作。如果不能成功的预防缺陷，能早一些发现的话，肯定比晚发现的修复的成本低。

2. 在软件生命周期中的过程类似

以敏捷开发团队为例，常规测试人员在各个阶段做的事情，安全测试人员也要做：

了解业务的需求，以避免混乱的测试优先级；

针对业务与系统功能设计用例：常规测试需要关注系统功能，安全测试同样也不能脱离系统功能；

与其他角色一起启动需求的开发：沟通测试用例，避免因为沟通不足造成返工；

与其他角色一起在开发环境验收需求：尽早提供反馈，发现缺陷时开发可以马上修正

在测试环境进行全面测试：针对端到端的场景进行测试，尽可能把第三方系统（如果有的话）也包括进来；

分析并总结测试结果：整理问题清单，排列优先级；

反馈测试结果：把测试结果反馈给团队等干系人。

3. 测试用例很多重合

在面向终端用户的测试场景上，常规测试的用例与安全测试的用例是非常类似的。比如对于登录系统的功能，不管是常规测试还是安全测试，我们都会测试用户输入正确的用户名是否可以登录，输入错误的用户名或密码系统会如何反应。

4. 都需要有探索的过程

测试是一个了解软件系统能否完成我们预期的过程，也是探索系统还有哪些我们没有预期的行为的过程。安全测试的过程需要把探索的目标转向安全漏洞。当我们这么做时，我们同样会得到很多探索的乐趣。

5. 都要有测试人员必备的“怀疑态度”

相信咱们测试人员都非常熟悉一个场景－－开发人员说：“我只做了一个很小的代码改动。”然后我们带着友好而警惕的态度，发现这个“很小的改动”引发了很大的问题。不管是在安全测试还是非安全测试，这个警惕性是我们都需要保持的良好传统。