我有下表用于非功能需求分析,我想知道下表是否适合我的项目。假设这是非常重要的质量方案,应将其视为NFR(非功能需求部分)。我想知道测试人员将如何测试它,因为项目成功必须满足津贴。我应该将其移至质量检查或NFR吗?
NFR_01:安全性:用户PII数据机密性
1。说明: 用户的个人身份信息,偏好和历史数据的机密性应该很高。系统必须尽可能地保护数据机密性。
2。环境: 系统已经投入生产, 不必要地访问机密数据
3。刺激: 外部实体或内部未授权实体
4。回复: 系统必须保护数据机密性,并且应拒绝未经授权的访问
5。措施: [用户PII数据机密性] = [100-[攻击者成功攻击次数] / [攻击总数]]
6。津贴: [用户PII数据机密性]> = 99.999
答案 0 :(得分:1)
任务看起来很复杂,级别很高,没有确切的接受标准。
首先,您需要确定所有漏洞(我将创建用于质量检查的调查任务,理想情况下,您需要专门的安全专家)。
然后分析和评估所有问题,并根据需要按原因进行分组。这应该由安全专家,开发人员和产品来完成。 然后按照您的常规SDLC程序分别处理每个问题。
度量:即使存在漏洞,大多数情况下也没有攻击。就个人而言,我对度量标准并不感兴趣,这只是另一种欺骗手段。但是,如果您真的想用数字打动别人,请使用可用于支付罚款的金额。
允许:没有QA可以保证99%的无缺陷。如果我没有记错的话,独立审核可以提供的最好成绩是95%-但这是非常昂贵且极其彻底的测试