- Văn bản
- Lịch sử
Conformance TestingThe National Ins
Conformance Testing
The National Institute of Standards and Technology (NIST) states that “conformance testing activities assess whether a software product meets the requirements
of a particular specification or standard.”
17
These standards are typically well
regarded and widely accepted, such as those from the International Organization
for Standardization (ISO), the Institute of Electrical and Electronics Engineers,
Inc. (IEEE), or the American National Standards Institute (ANSI). They reflect
a commonly accepted “reference system” whose standards recommendations
are sufficiently defined and tested by certifiable test methods. They are used to
evaluate whether the software product implements each of the specific requirements of the standard or specification.
Conformance testing methodologies applicable to cloud services have been
developed for operating system interfaces, computer graphics, documented
interchange formats, computer networks, and programming language processors. Most testing methodologies use test case scenarios (e.g., abstract test suites,
test assertions, test cases), which themselves must be tested.
90 Chapter 3 Cloud Computing Software Security Fundamentals
Standardization is an important component of conformance testing. It usually includes developing the functional description and language specification,
creating the testing methodology, and “testing” the test case scenarios.
A major benefit of conformance testing is that it facilitates interoperability
between various cloud software products by confirming that each software
product meets an agreed-upon standard or specification.
One type of conformance testing, protocol-based testing, uses an application’s communication protocol as a direct basis for testing the application. This
method is useful for cloud-based applications. Protocol-based testing is especially
important for security testing in Web-based applications, because Web protocols provide the easiest way for remote attackers to access such applications.
18
Functional Testing
In functional testing, a cloud software application is tested at runtime to determine whether it conforms to its functional requirements. Requirements that state
how the application should respond when a specific event occurs are referred to
as positive requirements. Typically, a positive requirement is mapped to a specifi c
software artifact meant to implement that requirement. This provides traceability from requirements to implementation and informs the tester of which
code artifact to test to validate the expected functionality.
An example of a positive requirement is “the application should lock the user
account after three failed login attempts.” A tester can validate the expected
functionality (the lockout) by attempting to log in to the application three times
with the same username and incorrect passwords. This type of test can be easily
automated with a functional testing tool suite, such as the open-source Canoo
WebTest (http://webtest.canoo.com).
Functional testing also includes negative requirements, which specify what
software should notdo. An example of a negative requirement is “the cloud
application should not allow for the stored data to be disclosed.” This type
of requirement is more diffi cult to test because the expected behavior is not
implemented in a specifi c software artifact. Testing this requirement properly
would require the tester to anticipate every anomalous input, condition, cause,
and effect. Instead, the testing should be driven by risk analysis and threat
modeling. This enables the negative requirement to be documented as a threat
scenario, and the functionality of the countermeasure as a factor to mitigate
the threat. The following steps summarize this approach from the Open Web
Application Security Project (OWASP) Testing Guide (www.owasp.org/index
.php/Category:OWASP_Testing_Project).
First, the security requirements are documented from a threats and countermeasures perspective:
Encrypt authentication data in storage and transit to mitigate risk of
information disclosure and authentication protocol attacks.
Chapter 3 Cloud Computing Software Security Fundamentals 91
Encrypt passwords using nonreversible encryption such as a hashing
algorithm and a salt to prevent dictionary attacks. Saltrefers to inserting
random bits into algorithms used for key generation to mitigate against
dictionary attacks.
Lock out accounts after reaching a login failure threshold and enforce
password complexity to mitigate risk of brute-force password attacks.
+ Display generic error messages upon validation of credentials to mitigate
risk of account harvesting/enumeration.
+ Mutually authenticate client and server to prevent nonrepudiation and
man-in-the-middle (MITM) attacks.
Artifacts produced in the threat modeling process, such as threat trees and
attack libraries, can then be used to derive negative test scenarios.
A threat tree will assume a root attack (e.g., attack might be able to read other
users’ messages) and identify different exploits of security controls (e.g., data
validation fails because of a SQL injection vulnerability) and necessary countermeasures (e.g., implement data validation and parameterized queries) that
could be tested for effectiveness in mitigating such attacks.
Typically, functional testing is used to test the functionality of implemented
features or after the software feature is complete. However, code coverage is
limited by the number of available use cases. If a test is not created for a specifi c
use case, then a number of execution paths in the software will remain untested.
Therefore, even if the functionality is validated for all available use cases, that
is not a guarantee that the software is free of defects.
Logic testing is a type of functional testing that involves ensuring that business logic is predicated on the correct assumptions. Business logic is the code
that satisfies the business purpose of cloud software and typically models
and automates a “real-life” or “paper” business process such as e-commerce
or inventory management. Business logic is composed of both business rules
and workflows:
+ Business rules that express business policy (such as channels, location,
logistics, prices, and products)
+ Workflows based on the ordered tasks of passing documents or data from
one participant (a person or a software system) to another
Business logic flaws are typically specific to the cloud application being
tested, and are difficult to detect. Automated tools do a poor job of discovering logic flaws because they do not understand the context of the decisions.
Therefore, discovering logic flaws is typically a manual process performed by a
human tester.
When looking for business logic flaws, the tester begins by considering the
rules for the business function being provided by the cloud application. Next,
the tester searches for any limits or restrictions on people’s behavior. Then the
92 Chapter 3 Cloud Computing Software Security Fundamentals
application can be tested to validate that it enforces those rules. A classic example
of a business logic flaw is the modification of prices that was sometimes allowed
by e-commerce applications on the early Web-based Internet.
Setting the price of a product on an e-commerce site as a negative number
could result in funds being credited to an attacker. A countermeasure to this
vulnerability is to implement positive validation of the price so that the application allows only positive numbers in a specific numerical range. Of course, the
application should never accept and process any data from the client that did
not require user input in the first place.
Performance Testing
In an online report (http://vote.nist.gov/vvsg-report.htm), NIST states that
“what distinguishes performance testing from functional testing is the form
of the experimental result. A functional test yields a yes or no verdict, while a
performance test yields a quantity.” Performance testing measures how well
the cloud software system executes according to its required response times,
throughput, CPU, usage, and other quantifiable features in operation. The quantity resulting from a test may subsequently be reduced to a yes or no verdict by
comparison with a benchmark.
Performance testing is also commonly known by other names and/or associated with other testing activities, such as stress testing, capacity testing,
load testing, volume testing, and benchmark testing. These various performance
testing activities all have approximately the same goal: “measuring the cloud
software product under a real or simulated load.”
19
Typically, performance testing is conducted late in the software life cycle
when the software is fully developed. In order to obtain accurate measurements,
the cloud software is deployed and tested in an environment that simulates the
operational environment. This can be achieved by creating a cloud “staging”
environment, essentially a mirror copy of the production infrastructure, and
simulating typical operating conditions.
A major benefit of performance testing is that it is typically designed specifically for pushing system limits over a long period of time. This form of testing
has commonly been used to uncover unique failures not discovered during
conformance or interoperability tests. In addition, benchmarking is typically
used to provide competitive baseline performance comparisons. For instance,
these tests are used to characterize performance prior to manufacturing as well
as to compare performance characteristics of other software products prior to
purchase.
Performance testing procedures provide steps for determining the ability of
the cloud software to function properly, particularly when near or beyond the
boundaries of its specified capabilities or requirements. These boundaries are
usu
The National Institute of Standards and Technology (NIST) states that “conformance testing activities assess whether a software product meets the requirements
of a particular specification or standard.”
17
These standards are typically well
regarded and widely accepted, such as those from the International Organization
for Standardization (ISO), the Institute of Electrical and Electronics Engineers,
Inc. (IEEE), or the American National Standards Institute (ANSI). They reflect
a commonly accepted “reference system” whose standards recommendations
are sufficiently defined and tested by certifiable test methods. They are used to
evaluate whether the software product implements each of the specific requirements of the standard or specification.
Conformance testing methodologies applicable to cloud services have been
developed for operating system interfaces, computer graphics, documented
interchange formats, computer networks, and programming language processors. Most testing methodologies use test case scenarios (e.g., abstract test suites,
test assertions, test cases), which themselves must be tested.
90 Chapter 3 Cloud Computing Software Security Fundamentals
Standardization is an important component of conformance testing. It usually includes developing the functional description and language specification,
creating the testing methodology, and “testing” the test case scenarios.
A major benefit of conformance testing is that it facilitates interoperability
between various cloud software products by confirming that each software
product meets an agreed-upon standard or specification.
One type of conformance testing, protocol-based testing, uses an application’s communication protocol as a direct basis for testing the application. This
method is useful for cloud-based applications. Protocol-based testing is especially
important for security testing in Web-based applications, because Web protocols provide the easiest way for remote attackers to access such applications.
18
Functional Testing
In functional testing, a cloud software application is tested at runtime to determine whether it conforms to its functional requirements. Requirements that state
how the application should respond when a specific event occurs are referred to
as positive requirements. Typically, a positive requirement is mapped to a specifi c
software artifact meant to implement that requirement. This provides traceability from requirements to implementation and informs the tester of which
code artifact to test to validate the expected functionality.
An example of a positive requirement is “the application should lock the user
account after three failed login attempts.” A tester can validate the expected
functionality (the lockout) by attempting to log in to the application three times
with the same username and incorrect passwords. This type of test can be easily
automated with a functional testing tool suite, such as the open-source Canoo
WebTest (http://webtest.canoo.com).
Functional testing also includes negative requirements, which specify what
software should notdo. An example of a negative requirement is “the cloud
application should not allow for the stored data to be disclosed.” This type
of requirement is more diffi cult to test because the expected behavior is not
implemented in a specifi c software artifact. Testing this requirement properly
would require the tester to anticipate every anomalous input, condition, cause,
and effect. Instead, the testing should be driven by risk analysis and threat
modeling. This enables the negative requirement to be documented as a threat
scenario, and the functionality of the countermeasure as a factor to mitigate
the threat. The following steps summarize this approach from the Open Web
Application Security Project (OWASP) Testing Guide (www.owasp.org/index
.php/Category:OWASP_Testing_Project).
First, the security requirements are documented from a threats and countermeasures perspective:
Encrypt authentication data in storage and transit to mitigate risk of
information disclosure and authentication protocol attacks.
Chapter 3 Cloud Computing Software Security Fundamentals 91
Encrypt passwords using nonreversible encryption such as a hashing
algorithm and a salt to prevent dictionary attacks. Saltrefers to inserting
random bits into algorithms used for key generation to mitigate against
dictionary attacks.
Lock out accounts after reaching a login failure threshold and enforce
password complexity to mitigate risk of brute-force password attacks.
+ Display generic error messages upon validation of credentials to mitigate
risk of account harvesting/enumeration.
+ Mutually authenticate client and server to prevent nonrepudiation and
man-in-the-middle (MITM) attacks.
Artifacts produced in the threat modeling process, such as threat trees and
attack libraries, can then be used to derive negative test scenarios.
A threat tree will assume a root attack (e.g., attack might be able to read other
users’ messages) and identify different exploits of security controls (e.g., data
validation fails because of a SQL injection vulnerability) and necessary countermeasures (e.g., implement data validation and parameterized queries) that
could be tested for effectiveness in mitigating such attacks.
Typically, functional testing is used to test the functionality of implemented
features or after the software feature is complete. However, code coverage is
limited by the number of available use cases. If a test is not created for a specifi c
use case, then a number of execution paths in the software will remain untested.
Therefore, even if the functionality is validated for all available use cases, that
is not a guarantee that the software is free of defects.
Logic testing is a type of functional testing that involves ensuring that business logic is predicated on the correct assumptions. Business logic is the code
that satisfies the business purpose of cloud software and typically models
and automates a “real-life” or “paper” business process such as e-commerce
or inventory management. Business logic is composed of both business rules
and workflows:
+ Business rules that express business policy (such as channels, location,
logistics, prices, and products)
+ Workflows based on the ordered tasks of passing documents or data from
one participant (a person or a software system) to another
Business logic flaws are typically specific to the cloud application being
tested, and are difficult to detect. Automated tools do a poor job of discovering logic flaws because they do not understand the context of the decisions.
Therefore, discovering logic flaws is typically a manual process performed by a
human tester.
When looking for business logic flaws, the tester begins by considering the
rules for the business function being provided by the cloud application. Next,
the tester searches for any limits or restrictions on people’s behavior. Then the
92 Chapter 3 Cloud Computing Software Security Fundamentals
application can be tested to validate that it enforces those rules. A classic example
of a business logic flaw is the modification of prices that was sometimes allowed
by e-commerce applications on the early Web-based Internet.
Setting the price of a product on an e-commerce site as a negative number
could result in funds being credited to an attacker. A countermeasure to this
vulnerability is to implement positive validation of the price so that the application allows only positive numbers in a specific numerical range. Of course, the
application should never accept and process any data from the client that did
not require user input in the first place.
Performance Testing
In an online report (http://vote.nist.gov/vvsg-report.htm), NIST states that
“what distinguishes performance testing from functional testing is the form
of the experimental result. A functional test yields a yes or no verdict, while a
performance test yields a quantity.” Performance testing measures how well
the cloud software system executes according to its required response times,
throughput, CPU, usage, and other quantifiable features in operation. The quantity resulting from a test may subsequently be reduced to a yes or no verdict by
comparison with a benchmark.
Performance testing is also commonly known by other names and/or associated with other testing activities, such as stress testing, capacity testing,
load testing, volume testing, and benchmark testing. These various performance
testing activities all have approximately the same goal: “measuring the cloud
software product under a real or simulated load.”
19
Typically, performance testing is conducted late in the software life cycle
when the software is fully developed. In order to obtain accurate measurements,
the cloud software is deployed and tested in an environment that simulates the
operational environment. This can be achieved by creating a cloud “staging”
environment, essentially a mirror copy of the production infrastructure, and
simulating typical operating conditions.
A major benefit of performance testing is that it is typically designed specifically for pushing system limits over a long period of time. This form of testing
has commonly been used to uncover unique failures not discovered during
conformance or interoperability tests. In addition, benchmarking is typically
used to provide competitive baseline performance comparisons. For instance,
these tests are used to characterize performance prior to manufacturing as well
as to compare performance characteristics of other software products prior to
purchase.
Performance testing procedures provide steps for determining the ability of
the cloud software to function properly, particularly when near or beyond the
boundaries of its specified capabilities or requirements. These boundaries are
usu
0/5000
Sự phù hợp thử nghiệmCác tiểu bang quốc gia viện tiêu chuẩn và công nghệ (NIST) "phù hợp thử nghiệm hoạt động thẩm định xem một sản phẩm phần mềm đáp ứng các yêu cầu đặc điểm kỹ thuật cụ thể hoặc tiêu chuẩn."17Các tiêu chuẩn này là thường tốt coi và chấp nhận rộng rãi, chẳng hạn như những người từ các tổ chức quốc tế tiêu chuẩn hóa (tiêu chuẩn ISO), viện điện và điện tử kỹ sư, Inc (IEEE), hoặc viện tiêu chuẩn quốc gia Hoa Kỳ (ANSI). Họ phản ánh một thường chấp nhận "tham khảo hệ thống" mà khuyến nghị tiêu chuẩn được đầy đủ được xác định và thử nghiệm bởi chứng nhận thử nghiệm phương pháp. Chúng được sử dụng để đánh giá xem các sản phẩm phần mềm thực hiện mỗi người trong số các yêu cầu cụ thể của tiêu chuẩn hoặc đặc điểm kỹ thuật.Sự phù hợp thử nghiệm phương pháp áp dụng cho dịch vụ đám mây đã phát triển cho hệ điều hành giao diện, đồ họa máy tính, tài liệu định dạng trao đổi, mạng máy tính và ngôn ngữ lập trình bộ vi xử lý. Hầu hết các phương pháp thử nghiệm sử dụng kịch bản trường hợp thử nghiệm (ví dụ như, trừu tượng thử nghiệm suites, kiểm tra khẳng định, trường hợp thử nghiệm), mà chính họ phải được kiểm tra.90 chương 3 Cloud máy tính phần mềm bảo mật cơ bảnTiêu chuẩn hóa là một thành phần quan trọng của sự phù hợp thử nghiệm. Nó thường bao gồm việc phát triển các chức năng mô tả và đặc điểm kỹ thuật ngôn ngữ, việc tạo ra các phương pháp thử nghiệm, và "thử nghiệm" kịch bản trường hợp thử nghiệm.Một lợi ích lớn của sự phù hợp thử nghiệm là nó tạo điều kiện khả năng tương tác giữa các đám mây sản phẩm phần mềm bằng cách xác nhận rằng mỗi phần mềm sản phẩm đáp ứng một thỏa thuận tiêu chuẩn hoặc đặc điểm kỹ thuật.Một loại phù hợp thử nghiệm, giao thức dựa trên thử nghiệm, sử dụng giao thức truyền thông một ứng dụng như một cơ sở trực tiếp để thử nghiệm các ứng dụng. Điều này phương pháp là hữu ích cho các ứng dụng đám mây. Giao thức dựa trên thử nghiệm là đặc biệt là quan trọng đối với an ninh kiểm tra trong các ứng dụng dựa trên Web, bởi vì giao thức Web cung cấp cách dễ nhất cho kẻ tấn công từ xa để truy cập vào các ứng dụng.18Chức năng kiểm traTrong thử nghiệm chức năng, một ứng dụng phần mềm đám mây thử nghiệm tại thời gian chạy để xác định liệu nó phù hợp với yêu cầu chức năng của nó. Yêu cầu rằng nhà nước làm thế nào các ứng dụng phải đáp ứng khi một sự kiện cụ thể xảy ra được gọi như yêu cầu tích cực. Thông thường, một yêu cầu tích cực là ánh xạ tới một mạng c phần mềm artifact có nghĩa là để thực hiện yêu cầu đó. Điều này cung cấp truy tìm nguồn gốc từ yêu cầu để thực hiện và thông báo cho thử nghiệm trong đó Mã artifact để kiểm tra để xác nhận các chức năng dự kiến.Một ví dụ về một yêu cầu tích cực là "ứng dụng nên khóa người sử dụng tài khoản sau khi ba nỗ lực đăng nhập thất bại." Một thử nghiệm có thể xác nhận dự kiến chức năng (khóa) bằng cách cố gắng đăng nhập vào ứng dụng ba lần với cùng tên người dùng và mật khẩu không chính xác. Loại thử nghiệm có thể dễ dàng tự động với một chức năng thử nghiệm công cụ mật, chẳng hạn như mã nguồn mở Canoo WebTest (http://webtest.canoo.com).Chức năng kiểm tra cũng bao gồm các yêu cầu tiêu cực, trong đó xác định những gì phần mềm nên notdo. Một ví dụ về một yêu cầu tiêu cực là "đám mây ứng dụng nên cho phép cho lưu trữ dữ liệu được phổ biến." Loại này yêu cầu là thêm khó tôn giáo để kiểm tra vì không phải là hành vi dự kiến thực hiện trong một artifact c phần mềm mạng. Thử nghiệm yêu cầu này đúng cách sẽ yêu cầu kiểm tra dự đoán mỗi đầu vào bất thường, tình trạng, nguyên nhân, và có hiệu lực. Thay vào đó, các thử nghiệm nên được thúc đẩy bởi phân tích rủi ro và mối đe dọa Mô hình hóa. Điều này cho phép các yêu cầu tiêu cực để được tài liệu như là một mối đe dọa kịch bản, và các chức năng của countermeasure là một yếu tố để giảm thiểu các mối đe dọa. Các bước sau đây tóm tắt các cách tiếp cận này từ các trang Web mở Ứng dụng bảo mật dự án (OWASP) thử nghiệm hướng dẫn (www.owasp.org/ chỉ sốphp / thể loại: OWASP_Testing_Project).Trước tiên, các yêu cầu bảo mật được tài liệu từ một góc độ mối đe dọa và biện pháp đối phó:Encrypt dữ liệu xác thực trong lưu trữ và quá cảnh để giảm thiểu nguy cơ giao thức xác thực và tiết lộ thông tin tấn công.Chương 3 Cloud máy tính phần mềm bảo mật cơ bản 91Encrypt mật khẩu bằng cách sử dụng các mã hóa nonreversible chẳng hạn như một băm thuật toán và muối để ngăn chặn cuộc tấn công từ điển. Saltrefers để chèn lặt vặt vào thuật toán được sử dụng cho các thế hệ quan trọng để giảm thiểu chống lại cuộc tấn công từ điển.Lock ra tài khoản sau khi thống nhất một đăng nhập thất bại ngưỡng và thực thi mật khẩu các phức tạp để giảm thiểu rủi ro của mật khẩu brute-lực tấn công.+ Hiển thị thông báo lỗi chung khi xác nhận thông tin đăng nhập để giảm thiểu rủi ro của khoản thu hoạch/đếm.+ Cùng xác thực máy khách và máy chủ để ngăn chặn nonrepudiation và người đàn ông-trong-the-Trung (MITM) tấn công.Đồ tạo tác sản xuất với các mối đe dọa mô hình hóa quá trình, chẳng hạn như mối đe dọa cây và tấn công của thư viện, sau đó có thể được dùng để rút ra các tình huống tiêu cực thử nghiệm.Một cây mối đe dọa sẽ giả định một cuộc tấn công gốc (ví dụ như, cuộc tấn công có thể có khả năng đọc khác người dùng thư) và xác định các khai thác khác nhau của kiểm soát an ninh (ví dụ như, dữ liệu xác nhận không thành công vì một lỗ hổng tiêm SQL) và biện pháp đối phó cần thiết (ví dụ, thực hiện xác nhận dữ liệu và truy vấn parameterized) mà có thể được kiểm tra cho hiệu quả trong giảm nhẹ các cuộc tấn công.Thông thường, chức năng kiểm tra được sử dụng để kiểm tra các chức năng của thực hiện tính năng hoặc sau khi các tính năng phần mềm là hoàn thành. Tuy nhiên, mã bảo hiểm là bị giới hạn bởi số lượng các trường hợp sử dụng có sẵn. Nếu một thử nghiệm không được tạo ra cho một c thuật sử dụng trường hợp, sau đó một số thực hiện đường dẫn trong phần mềm sẽ vẫn chưa được kiểm tra. Vì vậy, ngay cả khi các chức năng được xác nhận cho tất cả các trường hợp sử dụng có sẵn, mà không phải là một đảm bảo rằng phần mềm là miễn phí của Khuyết tật.Logic thử nghiệm là một loại thử nghiệm chức năng liên quan đến việc đảm bảo rằng kinh doanh logic predicated trên các giả định chính xác. Kinh doanh logic là mã mà đáp ứng mục đích kinh doanh của đám mây phần mềm và thường mô hình và tự động hóa một "thật" hoặc "giấy" quá trình kinh doanh như thương mại điện tử hoặc quản lý hàng tồn kho. Logic kinh doanh bao gồm cả hai quy tắc kinh doanh và quy trình công việc:+ Kinh doanh quy tắc hiện chính sách kinh doanh (chẳng hạn như các kênh, vị trí, hậu cần, giá cả và sản phẩm)+ Công việc dựa trên công việc đặt hàng qua tài liệu hoặc các dữ liệu từ một người tham gia (một người hoặc một hệ thống phần mềm) khácKinh doanh logic sai sót được thường dành riêng cho ứng dụng đám mây đang thử nghiệm, và là khó khăn để phát hiện. Công cụ tự động làm một công việc người nghèo của phát hiện lỗi trong logic, vì họ không hiểu bối cảnh các quyết định. Do đó, phát hiện lỗ hổng logic thường là một quá trình hướng dẫn sử dụng thực hiện bởi một thử nghiệm của con người.Khi tìm kiếm doanh nghiệp logic sai sót, thử bắt đầu bằng cách xem xét các quy tắc cho các chức năng kinh doanh được cung cấp bởi các ứng dụng đám mây. Tiếp theo, kiểm tra tìm kiếm cho bất kỳ giới hạn hoặc hạn chế về hành vi của người dân. Sau đó, các 92 chương 3 Cloud máy tính phần mềm bảo mật cơ bảnứng dụng có thể được kiểm tra để xác nhận rằng nó thi hành những quy tắc. Một ví dụ cổ điển trong một doanh nghiệp logic lỗ hổng là sửa đổi của giá cả mà đôi khi được cho phép bởi thương mại điện tử các ứng dụng trên đầu trang Web dựa trên Internet.Thiết lập mức giá của một sản phẩm trên một trang web thương mại điện tử như một số tiêu cực có thể dẫn đến khoản tiền được ghi có vào một kẻ tấn công. Countermeasure này dễ bị tổn thương là thực hiện tích cực xác nhận của giá để cho các ứng dụng cho phép chỉ số dương trong một phạm vi số cụ thể. Tất nhiên, các ứng dụng nên không bao giờ chấp nhận và xử lý bất kỳ dữ liệu từ khách hàng đã làm không yêu cầu đầu vào người sử dụng tại địa điểm đầu tiên.Hiệu suất thử nghiệmTrong một báo cáo trực tuyến (http://vote.nist.gov/vvsg-report.htm), NIST tiểu bang mà "điều gì phân biệt thử nghiệm từ chức năng kiểm tra hiệu suất là hình thức kết quả thử nghiệm. Một bài kiểm tra chức năng sản lượng một bản án có hay không, trong khi một hiệu suất kiểm tra ra một số lượng." Hiệu suất thử nghiệm các biện pháp tốt như thế nào Hệ thống phần mềm đám mây thực hiện theo các thời gian đáp ứng yêu cầu, thông lượng, CPU, sử dụng, và các tính năng định lượng hoạt động. Số lượng kết quả thử nghiệm sau đó có thể được giảm đến một bản án có hay không bằng cách so sánh với một chuẩn mực.Hiệu suất thử nghiệm cũng thường được gọi bằng tên khác và/hoặc liên kết với các hoạt động thử nghiệm khác, chẳng hạn như căng thẳng thử nghiệm, khả năng thử nghiệm, tải thử nghiệm, kiểm tra khối lượng, và điểm chuẩn thử nghiệm. Hoạt động khác nhau thử nghiệm hoạt động tất cả có khoảng cùng một mục tiêu: "đo lường các đám mây sản phẩm phần mềm dưới một thực tế hay mô phỏng tải."19Thông thường, hiệu suất thử nghiệm được tiến hành vào cuối đời điều khiển phần mềm khi phần mềm được phát triển đầy đủ. Để có được số đo chính xác, phần mềm đám mây là triển khai và thử nghiệm trong một môi trường mô phỏng các môi trường hoạt động. Điều này có thể đạt được bằng cách tạo ra một đám mây "tập trung" môi trường, về cơ bản là một bản sao gương của cơ sở hạ tầng sản xuất, và Mô phỏng các điều kiện hoạt động điển hình.Một lợi ích lớn của hiệu suất thử nghiệm là rằng nó thường được thiết kế đặc biệt để đẩy hệ thống giới hạn trong một khoảng thời gian dài của thời gian. Biểu mẫu này của thử nghiệm thường được sử dụng để phát hiện ra độc đáo thất bại không phát hiện ra trong sự phù hợp hoặc khả năng tương tác thử nghiệm. Ngoài ra, điểm chuẩn là thông thường được sử dụng để cung cấp đường cơ sở cạnh tranh so sánh hiệu suất. Ví dụ, Các xét nghiệm này được sử dụng để mô tả hiệu suất trước khi sản xuất là tốt như để so sánh hiệu suất đặc tính của các sản phẩm khác của phần mềm trước khi mua.Thủ tục kiểm tra hiệu suất cung cấp các bước để xác định khả năng của phần mềm đám mây để hoạt động đúng, đặc biệt là khi gần hoặc vượt quá các ranh giới của khả năng quy định hoặc yêu cầu của nó. Những ranh giới USU
đang được dịch, vui lòng đợi..
Sự phù hợp Testing
Viện Tiêu chuẩn và Công nghệ (NIST) cho rằng "các hoạt động thử nghiệm hợp chuẩn đánh giá một sản phẩm phần mềm đáp ứng các yêu cầu
của một đặc điểm kỹ thuật hoặc tiêu chuẩn cụ thể. "
17
Những tiêu chuẩn này thường cũng
coi và được chấp nhận rộng rãi, chẳng hạn như những từ Tổ chức Quốc tế
về Tiêu chuẩn hoá (ISO), Viện Điện và Điện tử,
Inc. (IEEE), hoặc các Viện Tiêu chuẩn Quốc gia Hoa Kỳ (ANSI). Họ phản ánh
một thường được chấp nhận "hệ quy chiếu" với khuyến nghị tiêu chuẩn
được xác định và kiểm tra cẩn thận bằng các phương pháp kiểm tra chứng nhận. Chúng được sử dụng để
đánh giá liệu các sản phẩm phần mềm thực hiện từng yêu cầu cụ thể của các tiêu chuẩn hoặc đặc điểm kỹ thuật.
phương pháp thử nghiệm sự phù hợp áp dụng đối với dịch vụ điện toán đám mây đã được
phát triển cho các giao diện hệ điều hành, đồ họa máy tính, tài liệu
định dạng trao đổi, mạng máy tính, và bộ vi xử lý ngôn ngữ lập trình . Hầu hết các phương pháp thử nghiệm sử dụng thử nghiệm các kịch bản trường hợp (ví dụ, dãy phòng thử nghiệm trừu tượng,
khẳng định kiểm tra, trường hợp kiểm tra), mà bản thân họ phải được kiểm tra.
90 Chương 3 Cloud Phần mềm máy tính An ninh cơ bản
Tiêu chuẩn là một thành phần quan trọng của kiểm tra sự phù hợp. Nó thường bao gồm việc phát triển các mô tả chức năng và đặc điểm kỹ thuật ngôn ngữ,
tạo ra các phương pháp thử nghiệm, và "thử nghiệm" các kịch bản trường hợp thử nghiệm.
Một lợi ích lớn của thử nghiệm phù hợp là nó tạo điều kiện cho khả năng tương tác
giữa các sản phẩm phần mềm điện toán đám mây khác nhau bằng cách xác nhận rằng mỗi phần mềm
sản phẩm đáp ứng được một thỏa thuận chuẩn -upon hoặc đặc điểm kỹ thuật.
Một loại thử nghiệm hợp chuẩn, thử nghiệm dựa trên giao thức, sử dụng giao thức truyền thông của một ứng dụng như một cơ sở trực tiếp để thử nghiệm các ứng dụng. Đây
là phương pháp hữu ích cho các ứng dụng dựa trên đám mây. Thử nghiệm dựa trên giao thức là đặc biệt
quan trọng đối với an ninh kiểm tra trong các ứng dụng trên nền web, bởi vì các giao thức Web cung cấp một cách dễ dàng nhất cho những kẻ tấn công từ xa để truy cập các ứng dụng như vậy.
18
Functional Testing
Trong thử nghiệm chức năng, một phần mềm ứng dụng điện toán đám mây đang được thử nghiệm trong thời gian chạy để xác định xem nó phù hợp với yêu cầu chức năng của nó. Yêu cầu, trong đó làm
thế nào ứng dụng cần đáp ứng khi một sự kiện cụ thể xảy ra được gọi là
yêu cầu là tích cực. Thông thường, một yêu cầu tích cực được ánh xạ tới một c specifi
tạo tác phần mềm có nghĩa là để thực hiện yêu cầu đó. Điều này cung cấp truy xuất nguồn gốc từ các yêu cầu để thực hiện và thông báo các thử nghiệm trong đó
đang tạo tác để kiểm tra để xác nhận các chức năng mong đợi.
Một ví dụ về yêu cầu tích cực là "ứng dụng nên khóa sử dụng
tài khoản sau ba thất bại trong nỗ lực đăng nhập. "Một thử nghiệm có thể xác nhận dự kiến
các chức năng (các khóa) bằng cách cố gắng để đăng nhập vào ứng dụng ba lần
với cùng tên người dùng và mật khẩu không chính xác. Đây là loại thử nghiệm có thể được dễ dàng
tự động với một công cụ kiểm tra bộ chức năng, chẳng hạn như các mã nguồn mở Canoo
WebTest (http://webtest.canoo.com).
Chức năng thử nghiệm cũng bao gồm các yêu cầu về tiêu cực, trong đó xác định những
phần mềm nên notdo. Một ví dụ về yêu cầu tiêu cực là "đám mây
ứng dụng không nên cho phép các dữ liệu được lưu trữ phải được tiết lộ. "Đây là loại
của yêu cầu là giáo phái diffi hơn tôn giáo để kiểm tra vì hành vi mong đợi không
thực hiện một phần mềm specifi c artifact. Kiểm tra yêu cầu này đúng
sẽ yêu cầu các thử nghiệm để dự đoán bất thường mỗi đầu vào, tình trạng, nguyên nhân,
và có hiệu lực. Thay vào đó, các xét nghiệm cần được thúc đẩy bởi việc phân tích nguy cơ và đe dọa
mô hình. Điều này cho phép các yêu cầu tiêu cực được ghi nhận như một mối đe dọa
kịch bản, và các chức năng của các biện pháp đối phó như là một yếu tố để giảm thiểu
các mối đe dọa. Các bước sau đây tóm tắt phương pháp này từ Open Web
Application Security Project (OWASP) Testing Guide (www.owasp.org/index
.php / Category: OWASP_Testing_Project).
Đầu tiên, các yêu cầu về an ninh là tài liệu từ một mối đe dọa và biện pháp đối phó viễn cảnh:
Encrypt dữ liệu xác thực trong lưu trữ và vận chuyển để giảm thiểu rủi ro của
công bố thông tin và giao thức xác thực các cuộc tấn công.
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 91
mật khẩu Encrypt sử dụng mã hóa nonreversible như một băm
thuật toán và muối để ngăn chặn các cuộc tấn công từ điển. Saltrefers để chèn
các bit ngẫu nhiên vào các thuật toán được sử dụng để tạo khóa để giảm nhẹ so với
các cuộc tấn công từ điển.
Lock ra các tài khoản sau khi đạt đến một ngưỡng thất bại đăng nhập và thực thi các
mật khẩu phức tạp để giảm thiểu nguy cơ của các cuộc tấn công brute-force password.
+ Hiển thị thông báo lỗi chung chung khi xác nhận các thông tin để giảm thiểu
rủi ro của việc khai thác tài khoản / điều tra.
+ lẫn nhau xác thực client và máy chủ để ngăn chặn và chống chối
man-in-the-middle (MITM).
Hiện vật được sản xuất trong quá trình xây dựng mô hình mối đe dọa, chẳng hạn như cây đe dọa và
tấn công các thư viện, sau đó có thể được sử dụng để lấy các kịch bản thử nghiệm tiêu cực.
Một cây đe dọa sẽ cho rằng một cuộc tấn công gốc (ví dụ, cuộc tấn công có thể có thể đọc khác
thông điệp của người sử dụng) và xác định khai thác khác nhau kiểm soát an ninh (ví dụ, dữ liệu
xác nhận không thành công vì một lỗ hổng SQL injection) và biện pháp đối phó cần thiết (ví dụ, thực hiện xác nhận dữ liệu và truy vấn tham số) mà
có thể được kiểm tra tính hiệu quả trong việc giảm thiểu các cuộc tấn công như vậy.
Thông thường, chức năng kiểm tra được sử dụng để kiểm tra các chức năng của thực hiện
các tính năng hoặc sau khi các tính năng phần mềm là hoàn tất. Tuy nhiên, bảo hiểm mã được
giới hạn bởi số lượng các trường hợp sử dụng có sẵn. Nếu một bài kiểm tra không được tạo ra cho một c specifi
trường hợp sử dụng, sau đó một số con đường thực hiện trong phần mềm sẽ vẫn chưa được kiểm chứng.
Vì vậy, ngay cả khi chức năng được xác nhận cho tất cả các trường hợp sử dụng có sẵn, mà
không phải là một sự đảm bảo rằng phần mềm là miễn phí khuyết tật.
thử nghiệm Logic là một loại thử nghiệm chức năng có liên quan đến việc đảm bảo rằng logic kinh doanh được xác định dựa trên các giả định chính xác. Logic kinh doanh là mã
đáp ứng các mục đích kinh doanh của phần mềm điện toán đám mây và các mô hình điển hình
và tự động hóa một "đời thực" hay "giấy" quá trình kinh doanh như thương mại điện tử
, quản lý hàng tồn kho. Logic kinh doanh bao gồm cả các quy tắc kinh doanh
và quy trình công việc:
+ quy tắc kinh doanh thể hiện chính sách kinh doanh (chẳng hạn như các kênh, vị trí,
hậu cần, giá cả, và các sản phẩm)
+ Workflows dựa trên các nhiệm vụ ra lệnh truyền các văn bản hoặc dữ liệu từ
một người tham gia (một người hoặc một hệ thống phần mềm) để một
lỗ hổng logic kinh doanh thường cụ thể cho các ứng dụng điện toán đám mây đang được
thử nghiệm, và rất khó phát hiện. Công cụ tự động làm một công việc người nghèo phát hiện sai sót lôgic, vì họ không hiểu được bối cảnh của các quyết định.
Vì vậy, khi phát hiện sai sót lôgic thường là một quá trình thủ công được thực hiện bởi một
thử nghiệm của con người.
Khi tìm kiếm lỗ hổng logic kinh doanh, các thử nghiệm bắt đầu bằng cách xem xét các
quy tắc cho các chức năng kinh doanh được cung cấp bởi các ứng dụng điện toán đám mây. Tiếp theo,
các thử nghiệm tìm kiếm cho bất kỳ giới hạn hoặc hạn chế hành vi của người dân. Sau đó, các
Cloud Phần mềm máy tính an Fundamentals 92 Chương 3
ứng dụng có thể được kiểm tra để xác nhận rằng nó thực thi những quy tắc. Một ví dụ điển hình
của một lỗ hổng logic kinh doanh là những thay đổi về giá cả mà đôi khi được cho phép
bởi các ứng dụng thương mại điện tử trên Internet Web dựa trên đầu.
Thiết lập giá của một sản phẩm trên một trang web thương mại điện tử là một số âm
có thể khiến cho ngân sách được ghi có vào một kẻ tấn công. Một biện pháp đối phó với điều này
dễ bị tổn thương là để thực hiện xác nhận tích cực của giá cả để các ứng dụng cho phép chỉ số tích cực trong một phạm vi bằng số cụ thể. Tất nhiên, các
ứng dụng sẽ không bao giờ chấp nhận và xử lý bất kỳ dữ liệu từ khách hàng rằng đã
không yêu cầu người dùng nhập vào trong những nơi đầu tiên.
Thử nghiệm tính năng
Trong một báo cáo trực tuyến (http://vote.nist.gov/vvsg-report.htm), NIST tuyên bố rằng
"những gì phân biệt thử nghiệm hiệu năng từ chức năng kiểm tra các hình thức là
các kết quả thí nghiệm. Một thử nghiệm chức năng mang lại là có hay không có phán quyết, trong khi một
thử nghiệm hiệu năng mang lại một số lượng. "biện pháp kiểm tra hiệu suất tốt như thế nào
các hệ thống phần mềm điện toán đám mây thực hiện theo thời gian đáp ứng yêu cầu, nó
thông, CPU, sử dụng, và tính năng định lượng khác trong hoạt động. Số lượng kết quả từ một thử nghiệm sau đó có thể được giảm đến có hoặc không có phán quyết bởi
so với một điểm chuẩn.
Hiệu suất thử nghiệm cũng thường được gọi bằng tên khác và / hoặc kết hợp với các hoạt động thử nghiệm khác, chẳng hạn như căng thẳng thử nghiệm, kiểm tra năng lực,
thử tải , kiểm tra khối lượng, và thử nghiệm benchmark. Những hoạt động khác nhau
hoạt động thử nghiệm tất cả đều có cùng một mục tiêu xấp xỉ: "để đo lường các đám mây
. sản phẩm phần mềm theo một tải thực hoặc mô phỏng "
19
Thông thường, thực hiện thử nghiệm được tiến hành vào cuối trong vòng đời phần mềm
khi phần mềm được phát triển đầy đủ. Để có được số đo chính xác,
phần mềm điện toán đám mây được triển khai và thử nghiệm trong một môi trường mô phỏng
môi trường hoạt động. Điều này có thể đạt được bằng cách tạo ra một đám mây "dàn dựng"
môi trường, thực chất là bản sao nhân bản của các cơ sở hạ tầng sản xuất, và
mô phỏng điều kiện hoạt động điển hình.
Một lợi ích lớn của thử nghiệm hiệu suất là nó thường được thiết kế đặc biệt để đẩy giới hạn hệ thống trong một thời gian dài thời gian. Đây là hình thức kiểm tra
đã thường được sử dụng để phát hiện ra những thất bại duy nhất không phát hiện trong quá trình
kiểm tra sự phù hợp hoặc khả năng tương tác. Ngoài ra, điểm chuẩn thường được
sử dụng để cung cấp cơ sở so sánh hiệu suất cạnh tranh. Ví dụ,
các xét nghiệm này được sử dụng để mô tả hiệu suất trước khi sản xuất cũng
như để so sánh đặc tính hiệu suất của sản phẩm phần mềm khác trước khi
mua.
thủ tục kiểm tra hiệu suất cung cấp các bước để xác định khả năng của
phần mềm điện toán đám mây để hoạt động đúng, đặc biệt là khi ở gần hay xa hơn các
ranh giới của tính năng của nó hoặc yêu cầu. Những ranh giới là
USU
Viện Tiêu chuẩn và Công nghệ (NIST) cho rằng "các hoạt động thử nghiệm hợp chuẩn đánh giá một sản phẩm phần mềm đáp ứng các yêu cầu
của một đặc điểm kỹ thuật hoặc tiêu chuẩn cụ thể. "
17
Những tiêu chuẩn này thường cũng
coi và được chấp nhận rộng rãi, chẳng hạn như những từ Tổ chức Quốc tế
về Tiêu chuẩn hoá (ISO), Viện Điện và Điện tử,
Inc. (IEEE), hoặc các Viện Tiêu chuẩn Quốc gia Hoa Kỳ (ANSI). Họ phản ánh
một thường được chấp nhận "hệ quy chiếu" với khuyến nghị tiêu chuẩn
được xác định và kiểm tra cẩn thận bằng các phương pháp kiểm tra chứng nhận. Chúng được sử dụng để
đánh giá liệu các sản phẩm phần mềm thực hiện từng yêu cầu cụ thể của các tiêu chuẩn hoặc đặc điểm kỹ thuật.
phương pháp thử nghiệm sự phù hợp áp dụng đối với dịch vụ điện toán đám mây đã được
phát triển cho các giao diện hệ điều hành, đồ họa máy tính, tài liệu
định dạng trao đổi, mạng máy tính, và bộ vi xử lý ngôn ngữ lập trình . Hầu hết các phương pháp thử nghiệm sử dụng thử nghiệm các kịch bản trường hợp (ví dụ, dãy phòng thử nghiệm trừu tượng,
khẳng định kiểm tra, trường hợp kiểm tra), mà bản thân họ phải được kiểm tra.
90 Chương 3 Cloud Phần mềm máy tính An ninh cơ bản
Tiêu chuẩn là một thành phần quan trọng của kiểm tra sự phù hợp. Nó thường bao gồm việc phát triển các mô tả chức năng và đặc điểm kỹ thuật ngôn ngữ,
tạo ra các phương pháp thử nghiệm, và "thử nghiệm" các kịch bản trường hợp thử nghiệm.
Một lợi ích lớn của thử nghiệm phù hợp là nó tạo điều kiện cho khả năng tương tác
giữa các sản phẩm phần mềm điện toán đám mây khác nhau bằng cách xác nhận rằng mỗi phần mềm
sản phẩm đáp ứng được một thỏa thuận chuẩn -upon hoặc đặc điểm kỹ thuật.
Một loại thử nghiệm hợp chuẩn, thử nghiệm dựa trên giao thức, sử dụng giao thức truyền thông của một ứng dụng như một cơ sở trực tiếp để thử nghiệm các ứng dụng. Đây
là phương pháp hữu ích cho các ứng dụng dựa trên đám mây. Thử nghiệm dựa trên giao thức là đặc biệt
quan trọng đối với an ninh kiểm tra trong các ứng dụng trên nền web, bởi vì các giao thức Web cung cấp một cách dễ dàng nhất cho những kẻ tấn công từ xa để truy cập các ứng dụng như vậy.
18
Functional Testing
Trong thử nghiệm chức năng, một phần mềm ứng dụng điện toán đám mây đang được thử nghiệm trong thời gian chạy để xác định xem nó phù hợp với yêu cầu chức năng của nó. Yêu cầu, trong đó làm
thế nào ứng dụng cần đáp ứng khi một sự kiện cụ thể xảy ra được gọi là
yêu cầu là tích cực. Thông thường, một yêu cầu tích cực được ánh xạ tới một c specifi
tạo tác phần mềm có nghĩa là để thực hiện yêu cầu đó. Điều này cung cấp truy xuất nguồn gốc từ các yêu cầu để thực hiện và thông báo các thử nghiệm trong đó
đang tạo tác để kiểm tra để xác nhận các chức năng mong đợi.
Một ví dụ về yêu cầu tích cực là "ứng dụng nên khóa sử dụng
tài khoản sau ba thất bại trong nỗ lực đăng nhập. "Một thử nghiệm có thể xác nhận dự kiến
các chức năng (các khóa) bằng cách cố gắng để đăng nhập vào ứng dụng ba lần
với cùng tên người dùng và mật khẩu không chính xác. Đây là loại thử nghiệm có thể được dễ dàng
tự động với một công cụ kiểm tra bộ chức năng, chẳng hạn như các mã nguồn mở Canoo
WebTest (http://webtest.canoo.com).
Chức năng thử nghiệm cũng bao gồm các yêu cầu về tiêu cực, trong đó xác định những
phần mềm nên notdo. Một ví dụ về yêu cầu tiêu cực là "đám mây
ứng dụng không nên cho phép các dữ liệu được lưu trữ phải được tiết lộ. "Đây là loại
của yêu cầu là giáo phái diffi hơn tôn giáo để kiểm tra vì hành vi mong đợi không
thực hiện một phần mềm specifi c artifact. Kiểm tra yêu cầu này đúng
sẽ yêu cầu các thử nghiệm để dự đoán bất thường mỗi đầu vào, tình trạng, nguyên nhân,
và có hiệu lực. Thay vào đó, các xét nghiệm cần được thúc đẩy bởi việc phân tích nguy cơ và đe dọa
mô hình. Điều này cho phép các yêu cầu tiêu cực được ghi nhận như một mối đe dọa
kịch bản, và các chức năng của các biện pháp đối phó như là một yếu tố để giảm thiểu
các mối đe dọa. Các bước sau đây tóm tắt phương pháp này từ Open Web
Application Security Project (OWASP) Testing Guide (www.owasp.org/index
.php / Category: OWASP_Testing_Project).
Đầu tiên, các yêu cầu về an ninh là tài liệu từ một mối đe dọa và biện pháp đối phó viễn cảnh:
Encrypt dữ liệu xác thực trong lưu trữ và vận chuyển để giảm thiểu rủi ro của
công bố thông tin và giao thức xác thực các cuộc tấn công.
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 91
mật khẩu Encrypt sử dụng mã hóa nonreversible như một băm
thuật toán và muối để ngăn chặn các cuộc tấn công từ điển. Saltrefers để chèn
các bit ngẫu nhiên vào các thuật toán được sử dụng để tạo khóa để giảm nhẹ so với
các cuộc tấn công từ điển.
Lock ra các tài khoản sau khi đạt đến một ngưỡng thất bại đăng nhập và thực thi các
mật khẩu phức tạp để giảm thiểu nguy cơ của các cuộc tấn công brute-force password.
+ Hiển thị thông báo lỗi chung chung khi xác nhận các thông tin để giảm thiểu
rủi ro của việc khai thác tài khoản / điều tra.
+ lẫn nhau xác thực client và máy chủ để ngăn chặn và chống chối
man-in-the-middle (MITM).
Hiện vật được sản xuất trong quá trình xây dựng mô hình mối đe dọa, chẳng hạn như cây đe dọa và
tấn công các thư viện, sau đó có thể được sử dụng để lấy các kịch bản thử nghiệm tiêu cực.
Một cây đe dọa sẽ cho rằng một cuộc tấn công gốc (ví dụ, cuộc tấn công có thể có thể đọc khác
thông điệp của người sử dụng) và xác định khai thác khác nhau kiểm soát an ninh (ví dụ, dữ liệu
xác nhận không thành công vì một lỗ hổng SQL injection) và biện pháp đối phó cần thiết (ví dụ, thực hiện xác nhận dữ liệu và truy vấn tham số) mà
có thể được kiểm tra tính hiệu quả trong việc giảm thiểu các cuộc tấn công như vậy.
Thông thường, chức năng kiểm tra được sử dụng để kiểm tra các chức năng của thực hiện
các tính năng hoặc sau khi các tính năng phần mềm là hoàn tất. Tuy nhiên, bảo hiểm mã được
giới hạn bởi số lượng các trường hợp sử dụng có sẵn. Nếu một bài kiểm tra không được tạo ra cho một c specifi
trường hợp sử dụng, sau đó một số con đường thực hiện trong phần mềm sẽ vẫn chưa được kiểm chứng.
Vì vậy, ngay cả khi chức năng được xác nhận cho tất cả các trường hợp sử dụng có sẵn, mà
không phải là một sự đảm bảo rằng phần mềm là miễn phí khuyết tật.
thử nghiệm Logic là một loại thử nghiệm chức năng có liên quan đến việc đảm bảo rằng logic kinh doanh được xác định dựa trên các giả định chính xác. Logic kinh doanh là mã
đáp ứng các mục đích kinh doanh của phần mềm điện toán đám mây và các mô hình điển hình
và tự động hóa một "đời thực" hay "giấy" quá trình kinh doanh như thương mại điện tử
, quản lý hàng tồn kho. Logic kinh doanh bao gồm cả các quy tắc kinh doanh
và quy trình công việc:
+ quy tắc kinh doanh thể hiện chính sách kinh doanh (chẳng hạn như các kênh, vị trí,
hậu cần, giá cả, và các sản phẩm)
+ Workflows dựa trên các nhiệm vụ ra lệnh truyền các văn bản hoặc dữ liệu từ
một người tham gia (một người hoặc một hệ thống phần mềm) để một
lỗ hổng logic kinh doanh thường cụ thể cho các ứng dụng điện toán đám mây đang được
thử nghiệm, và rất khó phát hiện. Công cụ tự động làm một công việc người nghèo phát hiện sai sót lôgic, vì họ không hiểu được bối cảnh của các quyết định.
Vì vậy, khi phát hiện sai sót lôgic thường là một quá trình thủ công được thực hiện bởi một
thử nghiệm của con người.
Khi tìm kiếm lỗ hổng logic kinh doanh, các thử nghiệm bắt đầu bằng cách xem xét các
quy tắc cho các chức năng kinh doanh được cung cấp bởi các ứng dụng điện toán đám mây. Tiếp theo,
các thử nghiệm tìm kiếm cho bất kỳ giới hạn hoặc hạn chế hành vi của người dân. Sau đó, các
Cloud Phần mềm máy tính an Fundamentals 92 Chương 3
ứng dụng có thể được kiểm tra để xác nhận rằng nó thực thi những quy tắc. Một ví dụ điển hình
của một lỗ hổng logic kinh doanh là những thay đổi về giá cả mà đôi khi được cho phép
bởi các ứng dụng thương mại điện tử trên Internet Web dựa trên đầu.
Thiết lập giá của một sản phẩm trên một trang web thương mại điện tử là một số âm
có thể khiến cho ngân sách được ghi có vào một kẻ tấn công. Một biện pháp đối phó với điều này
dễ bị tổn thương là để thực hiện xác nhận tích cực của giá cả để các ứng dụng cho phép chỉ số tích cực trong một phạm vi bằng số cụ thể. Tất nhiên, các
ứng dụng sẽ không bao giờ chấp nhận và xử lý bất kỳ dữ liệu từ khách hàng rằng đã
không yêu cầu người dùng nhập vào trong những nơi đầu tiên.
Thử nghiệm tính năng
Trong một báo cáo trực tuyến (http://vote.nist.gov/vvsg-report.htm), NIST tuyên bố rằng
"những gì phân biệt thử nghiệm hiệu năng từ chức năng kiểm tra các hình thức là
các kết quả thí nghiệm. Một thử nghiệm chức năng mang lại là có hay không có phán quyết, trong khi một
thử nghiệm hiệu năng mang lại một số lượng. "biện pháp kiểm tra hiệu suất tốt như thế nào
các hệ thống phần mềm điện toán đám mây thực hiện theo thời gian đáp ứng yêu cầu, nó
thông, CPU, sử dụng, và tính năng định lượng khác trong hoạt động. Số lượng kết quả từ một thử nghiệm sau đó có thể được giảm đến có hoặc không có phán quyết bởi
so với một điểm chuẩn.
Hiệu suất thử nghiệm cũng thường được gọi bằng tên khác và / hoặc kết hợp với các hoạt động thử nghiệm khác, chẳng hạn như căng thẳng thử nghiệm, kiểm tra năng lực,
thử tải , kiểm tra khối lượng, và thử nghiệm benchmark. Những hoạt động khác nhau
hoạt động thử nghiệm tất cả đều có cùng một mục tiêu xấp xỉ: "để đo lường các đám mây
. sản phẩm phần mềm theo một tải thực hoặc mô phỏng "
19
Thông thường, thực hiện thử nghiệm được tiến hành vào cuối trong vòng đời phần mềm
khi phần mềm được phát triển đầy đủ. Để có được số đo chính xác,
phần mềm điện toán đám mây được triển khai và thử nghiệm trong một môi trường mô phỏng
môi trường hoạt động. Điều này có thể đạt được bằng cách tạo ra một đám mây "dàn dựng"
môi trường, thực chất là bản sao nhân bản của các cơ sở hạ tầng sản xuất, và
mô phỏng điều kiện hoạt động điển hình.
Một lợi ích lớn của thử nghiệm hiệu suất là nó thường được thiết kế đặc biệt để đẩy giới hạn hệ thống trong một thời gian dài thời gian. Đây là hình thức kiểm tra
đã thường được sử dụng để phát hiện ra những thất bại duy nhất không phát hiện trong quá trình
kiểm tra sự phù hợp hoặc khả năng tương tác. Ngoài ra, điểm chuẩn thường được
sử dụng để cung cấp cơ sở so sánh hiệu suất cạnh tranh. Ví dụ,
các xét nghiệm này được sử dụng để mô tả hiệu suất trước khi sản xuất cũng
như để so sánh đặc tính hiệu suất của sản phẩm phần mềm khác trước khi
mua.
thủ tục kiểm tra hiệu suất cung cấp các bước để xác định khả năng của
phần mềm điện toán đám mây để hoạt động đúng, đặc biệt là khi ở gần hay xa hơn các
ranh giới của tính năng của nó hoặc yêu cầu. Những ranh giới là
USU
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- thù lao
- cảm ơn vì đã bên tôi
- you apna
- ladies
- Spatial
- Talk
- dubai gold sale
- strong actions that can easily be seen a
- Me too
- cái này làm như thế nào ạ
- 졸려요?
- tôi là một học sinh. tôi đã có những ước
- Hạng 3,4,5 lần lượt là
- Produce at least 5000 sun
- thích
- CAI DAT
- ngôi nhà mơ ước
- chuyen giao công nghệ
- kéo dài 90 phút
- CAI DAT
- unite
- the amount of a nutrient to supply to a
- GUI cho toi buc hinh cua ban
- chỉ để yêu thích bạn
