Testing 关于数据机密性非功能需求表的混淆
我有下表用于非功能性需求分析,我想知道下表是否适合我的项目。让我们假设这是非常重要的质量场景,应该作为NFR非功能性需求部分。我想知道测试人员将如何测试它,因为项目成功必须满足容差。我应该把这个移到QA还是NFR NFR_01:安全性:用户PII数据保密性 一,。说明: 用户个人识别信息、偏好和历史数据的保密性应非常高。系统必须尽可能保护数据的机密性 二,。环境: 系统已投入生产, 意外访问机密数据时会发生 三,。刺激: 外部实体或内部未授权实体 四,。答复: 系统必须保护数据机密性,应拒绝未经授权的访问 五,。措施: [用户PII数据机密性]=[100-[攻击者成功的攻击次数]/[攻击总数]] 六,。津贴:Testing 关于数据机密性非功能需求表的混淆,testing,attributes,qa,software-quality,Testing,Attributes,Qa,Software Quality,我有下表用于非功能性需求分析,我想知道下表是否适合我的项目。让我们假设这是非常重要的质量场景,应该作为NFR非功能性需求部分。我想知道测试人员将如何测试它,因为项目成功必须满足容差。我应该把这个移到QA还是NFR NFR_01:安全性:用户PII数据保密性 一,。说明: 用户个人识别信息、偏好和历史数据的保密性应非常高。系统必须尽可能保护数据的机密性 二,。环境: 系统已投入生产, 意外访问机密数据时会发生 三,。刺激: 外部实体或内部未授权实体 四,。答复: 系统必须保护数据机密性,应拒绝未经
[用户PII数据机密性]>=99.999任务看起来很复杂,级别很高,没有确切的验收标准 首先,您需要识别我将为QA创建的调查任务中的所有漏洞,理想情况下,您需要为此专门的安全专家 然后分析和评估所有问题,如果需要,按原因分组。这应该由安全专家、开发人员和产品负责。 然后,每个问题都应该按照常规SDLC流程单独处理 措施:即使存在漏洞,通常也没有攻击。就我个人而言,我对指标不感兴趣,这只是另一种欺骗方式。但如果你真的想用数字给别人留下深刻印象,那就用这笔钱来支付罚款 容差:任何QA都无法保证99%的无缺陷。如果我没有弄错的话,独立审计所能提供的最好结果是95%——但这是非常昂贵和非常彻底的测试
谢谢你的建议。当数据保密性是一项功能需求时,测试人员通常如何在产品准备就绪时验证该需求?你知道有没有测试数据机密性的通用测试程序?我不知道。但互联网上应该有很多清单,比如这张。通常,测试人员会验证需求和主测试计划中列出的特性——所有这些都应该在测试执行之前的计划阶段进行讨论和说明