今天，很多的软件并没有经过专门的安全测试就被放到互联网上，它们携带着各类安全漏洞暴露在公众面前，其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。这些漏洞一旦被不怀好意者利用，很可能会给企业造成经济损失。带来负面声誉影响的同时，还可能被起诉、遭到罚款等等，细思极恐。其中的一部分原因是企业本身安全意识不强，但是很多时候虽然软件企业已经开始意识到这些问题，却苦于缺少专业的安全测试人员，他们不得不冒着极大的风险先上线赌一把运气再说。

　　既然如此，作为质量代言人的我们，怎能对此置之不理呢？

　　你也许会问？怎么理？安全测试水太深了。

　　安全测试并不遥远

　　是的，安全测试在软件测试里面是一个很特别的科目（或作“工种”），很多人都觉得这个科目应该全权交给神秘的安全测试人员来管。这个观念导致很多测试人员徘徊在安全测试的门口却迟迟不进去，包括我自己。

　　直到后来，我非常有幸能够在不同规模的软件开发项目上跟“神秘的安全测试人员”学习如何进行安全测试，发现“神秘的安全测试人员”不光是名字跟我们一样都有“测试”二字，所做的事情在本质上也跟我们测试人员有很多相通之处。

　　想想看我们都做过什么：

　　我们修改过url的参数，对不对？他们也是！

　　我们在数据输入处提供过不合法的数据，对不对？他们也是！

　　我们尝试过修改只读数据，对不对？他们也是！

　　我们也测过用户会话是否如期timeout，对不对？他们也是！

　　Ok，这还不是全部。他们也做测试计划、测试用例设计、bug分析与管理等等。所以，atv，安全测试离我们并没有那么遥远。

　　当然，我必须承认，安全测试是非常复杂的。一个专业的安全测试专家在某种程度上来说是一个全栈工程师。所以，想要在安全测试上一夜成才不太容易。不过好消息是，作为测试人员的我们却有得天独厚的优势，使我们能够在安全测试上快速起步，帮助团队尽快展开预防并检测安全漏洞的工作。

　　在这里我想要跟大家分享一下在敏捷开发团队中如何利用我们的测试经验开展安全测试。

　　安全测试并不陌生

　　首先，让我们先来了解什么是安全测试，我们作为测试人员有什么可以直接用上的技能和经验。

　　简单来说，安全测试其实就是一个发现软件安全漏洞的过程，旨在保护软件系统的数据与功能。它跟常规测试相似的地方至少有以下几点：

　　1. 目标类似

　　不管是常规测试还是安全测试，都有一个原则：预防胜于检测。这个比较容易理解，不管是常规测试的缺陷也好，还是安全测试的漏洞也好，如果能预防使它不发生，就省了后期的修复与验证工作。如果不能成功的预防缺陷，能早一些发现的话，肯定比晚发现的修复的成本低。

　　2. 在软件生命周期中的过程类似

　　以敏捷开发团队为例，常规测试人员在各个阶段做的事情，安全测试人员也要做：

了解业务的需求，以避免混乱的测试优先级；

针对业务与系统功能设计用例：常规测试需要关注系统功能，安全测试同样也不能脱离系统功能；

与其他角色一起启动需求的开发：沟通测试用例，避免因为沟通不足造成返工；

与其他角色一起在开发环境验收需求：尽早提供反馈，发现缺陷时开发可以马上修正

在测试环境进行全面测试：针对端到端的场景进行测试，尽可能把第三方系统（如果有的话）也包括进来；

分析并总结测试结果：整理问题清单，atv，排列优先级；

反馈测试结果：把测试结果反馈给团队等干系人。

　　3. 测试用例很多重合