课程目标

在我们的业务安全SDK测试中，最核心的一项工作是评估异常检测和加解密算法的效果，但面临的挑战有：
1）加解密算法类似于黑盒子，如何来保证这个黑盒子的质量？
2）数据敏感，样本少，如何快速生产测试数据样本？
3）功能迭代，频繁发版，如何保证回归测试的质量与效率、如何覆盖更多场景？

本次分享将介绍我们团队，在业务安全三端【移动端、H5、服务端】SDK方面的探索经验和当前取得的成果。

适用人群

了解业务安全SDK测试中遇到的问题，及从我们团队的解决方案中获取有参考价值的实践。

课程概述

内容大纲：

Part1、背景介绍【15min】

1、数据安全背景&意义

背景：我国相继建立《网络安全法》《数据安全法》《个人信息保护法》，保护个人、组织与数据有关的权益，提升数据安全治理和数据开发利用水平，促进以数据为关键生产要素的数字经济发展。

 

现状：58情况介绍

 

意义：随着数据价值提升，越来越多的攻击目标转向企业的业务数据和用户数据。常见场景为被友商、黑产爬取产品价格、内容信息、运营活动等恶意行为。

2、场景引入思考

 

3、金盾项目概况

通过技术手段，针对移动应用【APK、IPA、WAP】与业务服务器之间的教会数据通过“加密与解密”的方式，实现数据安全与业务安全，金盾以安全观的角色植入到各业务线，赋予业务线具有“数据安全与风险控制的能力”

 

4、金盾整体架构

由于金盾以类中间件的方式存在，且受制于各个业务线“现状”，“业务形态”及“业务方式”，因此归纳出金盾项目的输出应该具有以下特质：

集成方式规约化、业务低耦无侵入、场景业务定制化、数据分析可视化

 

Part2、SDK全流程质量保障【70min】

1、测试流程【20min】

1）需求风险评估

介绍需求风险量化评估的方法与实践

 

2）测试排期

介绍测试排期任务拆解、优先级确认，工时评估，人员分工的方法与实践

 

3）用例设计

介绍全组合与银子组合外，如何通过线性组合来优化优化，满足以最少的用例覆盖最多的风险

 

4）数据准备

介绍基于数据特征的，Faker数据生成方法，解决手工构造数据单一、丰富度不足的问题

 

5）性能评估损耗

介绍业务接入SDK的性能损耗评估的方法，及SDK交付的性能标准

 

6）影响分析

介绍通过git diff获取影响变更范围，及测试用例如何与commit id相关联，根据检测到Bug的可能性对回归用例进行执行优先级排序

 

7）风险覆盖

 介绍基于风险贡献度与测试用例执行率，获取风险覆盖率的方法，及测试通过的标准

 

8）发布决策

介绍基于风险覆盖的数据，进行发布决策的方法，增强发版信心

 

2、伴生工具【20min】

1）测试数据生成器

2）压测平台

3）接口测试

 

3、实际案例【30min】

1）动态策略

2）静态校验

3）加密解密

 

Part3、总结思考【5min】

 

Part4、FAQ【10min】