NIST SP 800-53A R4-测试深度&测试范围

“覆盖范围属性解决了评估的范围或广度。” （NIST SP 800-53A）测试的范围与测试范围有关，例如，测试了多少个样品。软件测试样本的粒度可以是代码行，功能，测试用例，决策分支等。
“深度属性解决了严谨和水平评估的细节。” （NIST SP 800-53A）测试的深度与对系统的了解程度有关。黑框表示测试人员对系统一无所知，而白框表示测试人员了解系统的内部操作。
全面的测试意味着测试人员了解系统的内部操作（白盒）并使用更多的样本。用户界面设计和数据库架构与内部操作或测试的深度属性有关。
. A.在测试之前检查用户界面设计
. B.选择足够大的滥用案例样本
. C.要求开发人员介绍数据库模式

以下是NIST SP 800-53A的摘录：
测试深度
. 基本测试
. 测试方法（也被称为黑盒测试），它假定没有知识的评估对象的内部结构和实现细节。
. 使用针对功能的功能说明和针对活动的高级流程描述来进行此类测试。
. 基本测试可让您对安全性和隐私控制有一定的了解，以便确定控制措施是否已实施且没有明显的错误。
. 重点测试
. 测试方法（也称为灰盒测试），该方法假定您对评估对象的内部结构和实现细节有所了解。
. 使用功能规格和有限的系统体系结构信息（例如，高级设计）进行机制以及针对活动集成到操作环境中的高级过
程描述和高级描述，可以进行此类测试。
. 重点测试使您对安全和隐私控制有一定的了解，这些安全和隐私控制对於确定控件是否已实施且没有明显的错误
以及是否有理由相信控件正确实施和按预期运行而言是必不可少的。
. 综合测试
. 测试方法（也被称为白箱测试），它假定明确的和实质性的知识考核对象的内部结构和实现细节。
. 使用功能规范，广泛的系统架构信息（例如，高级别设计，低级设计）和实现表示形式（例如，源代码，示意
图）进行机制以及高级过程描述和详细说明，进行此类测试描述到活动的操作环境中的集成。
. 全面的测试可让您对安全和隐私控制有一定的了解，这些安全和隐私控制可用於确定控制措施是否已实施且没
有明显的错误，是否有进一步增加的理由使人们确信控制措施是否已正确实施并在持续，一致的情况下按预期
运行基础，并支持持续改进控件的有效性。

测试范围
. 基本测试
使用的评估对象的代表性样本（按类型内的类型和数量）测试提供覆盖水平需要确定的安全和隐私控制是否实施和免费明显错误的。
. 重点测试
使用评估对象的代表性样本（按类型和类型内的数量）和其他特定评估对象的测试，这些样本对实现评估目标特别重要，以提供确定是否实施安全和隐私控制以及没有明显的错误以及是否有增加的信心基础：
. 控件正确实施并按预期运行。
. 综合测试
大的评估对像样本（按类型和类型中的数量）和其他特定评估对象的测试，这些样本对实现评估目标特别重要，以
提供确定是否实施安全和隐私控制所必需的覆盖范围并且没有明显的错误，以及是否有进一步增加的信心基础：
. 已正确实施并在持续，一致的基础上按预期运行；并且
. 支持持续改进控件的有效性。

参考
. NIST SP 800-53A

资料来源： Wentz Wu QOTD-20210126