备注：斜体字为对章节描述说明，正式报告请自行删除或者更新描述。

版本安全测试策略模板

概述

• 网络安全测试的目标是通过安全测试，验证产品安全质量，发现系统中存在的安全脆弱性与风险，推动产品完成安全问题整改，从而提高产品安全性。*

版本背景

描述版本重点交付内容，内容可以包括：产品架构、安全特性、继承关系、使用场景、版本规划以及对该版本安全风险进行分析与说明。

安全需求测试分析

描述版本交付的系统需求清单，包括说明版本需求名称描述以及归属的SIG组信息，并主要分析设计的安全边界及新增安全风险。

黑盒扫描策略

描述版本需要覆盖的测试工具，旨在通过指定的工具快速分析版本的风险，包括端口扫描，主机漏洞扫描，漏洞扫描等必选工具，进一步保障产品的安全性。

端口扫描

• 端口扫描的目的在于检查系统中是否开放了非业务必需的端口。

病毒扫描

• 病毒扫描的目的在于防止恶意程序破坏软件的完整性和可用性，有效发现病毒、木马。*

安全编译选项扫描

• 安全编译选项的目的在于通过检查编译选项来提高软件的安全性，降低潜在的安全风险。*

安全测试用例基线验证

• 安全测试用例基线验证目的在于构建系统基础安全的防护网。*

白盒检视策略

描述版本对产品的设计、开发、构建的过程及交付件进行可信安全检查，涉及产品的架构、源码以及使用的开源和第三方软件、操作系统，从而识别和发现存在的安全问题，推动其进行全面排查和整改，从而提高整个产品的可信度。

新增/修改高风险模块策略

描述版本新增及修改高风险模块的风险说明，并给予风险情况及消减应对测试进行验收测试。

开源软件Licence合规检查

• 开源软件Licence合规检查的目的在于确保在项目中使用开源软件时，遵守所有相关的许可证条款，避免法律风险和侵权行为，并维护项目的声誉。*

漏洞扫描

• 漏洞扫描的目的在于发现并评估系统中存在的安全漏洞，以便及时修复，从而提高系统的整体安全性。*