本测试计划为EdgeGallery v1.2 安全测试计划,目的在于发现应用程序在版本迭代过程中可能出现的缺陷/漏洞,并评估其严重等级,并提供修补建议。以确保应用程序在版本迭代过程中的安全性。
This test plan is the EdgeGallery v1.2 security test plan. The purpose is to discover possible bugs/vulnerabilities of the application during the version iteration process, and evaluate its threat-level, and then provide some repair suggestions. The finally purpose is to ensure the security of the application during the version iteration process.
v1.2安全设计文档 Security Design Docs
Edgegallery安全设计规范 Security Design Guide
EdgeGallery合规测试用例 Compliance Test Cases
EdgeGallery渗透测试用例 Penetration Test Cases
v1.2版本整体分为3个迭代,由2021.5.6启动编码,计划于2021.7.7发布Release1.2版本。
Date | Coding Status | Compliance Test | Penetration Test | Regression Test |
---|---|---|---|---|
5.6 - 5.21 | Sprint 1 coding | |||
5.24 - 6.4 | Sprint 2 coding | Sprint 1 compliance test | Sprint 1 penetration test | |
6.7 - 6.18 | Sprint 3 coding | Sprint 2 compliance test | Sprint 2 penetration test | |
6.21 - 6.28 | Bug-fixing | Sprint 3 compliance test | Sprint 3 penetration test | Sprint 1 regression test |
6.29 - 7.5 | Bug-fixing | Sprint 2,3 regression test | ||
7.6 - 7.7 | Ready to release |
4.1 扈冰 Hu Bing
UserMgmt (合规测试/渗透测试)
Appstore (合规测试/渗透测试)
Developer (合规测试/渗透测试)
ATP (合规测试/渗透测试)
MECM (合规测试/渗透测试)
MEP (合规测试/渗透测试)
测试范围一般按照特性划分。
The test scope is generally divided according to stories.
Story | 开发状态 | 关联合规用例 | 合规安全测试 | 关联渗透用例 | 渗透测试状态 |
---|---|---|---|---|---|
【MECM】MECM后台统一servicecomb | 已完成 | ||||
【MECM】边缘自治增强--mep合并到mepm | 已完成 | 2.2 | |||
【ATP】测试任务页面优化 | 已完成 | ||||
【MECM】MECM支持applcm和apprulemgr注册统一(sprint1,sprint2) | 已完成 | ||||
【ATP】前台新增批量导入入口 | 已完成 | ||||
【HealthCheck】各边缘节点初始化 | 已完成 | ||||
【HealthCheck】MECM层调用HealthCheck | 已完成 | ||||
【developer】虚机资源配置可编辑 | 已完成 | 1.3 | |||
【AppStore】文档界面优化 | 已完成 | ||||
【developer】支持input参数补齐 | 已完成 | ||||
【AppStore】上传应用时可设置应用展示模式 | 已完成 | ||||
【AppStore】支持显示应用部署类型虚机还是容器 | 已完成 | ||||
【MECM】MECM支持前台节点位置可自定义 | 已完成 | 1.3 | 已完成,OK | ||
【UserMgmt】发送验证码到用户手机或邮箱的前端滑块验证方式优化为后台验证码 | 已完成 | 1.11, 1.16, 5.1 | 已完成,OK | 013 | 已完成,OK |
【UserMgmt】登录的滑块验证方式调整为与后台交互的验证码 | 已完成 | 1.11, 1.16, 5.1 | 已完成,OK | ||
【UserMgmt】用户注册支持与后台交互的验证 | 已完成 | 1.11, 1.16, 5.1 | 已完成,OK | ||
【AppStore】操作分析界面优化 | 已完成 | ||||
【ATP】后台新增贡献批量删除、脚本类型贡献下载接口 | 已完成 | 1.12, 9.2, 9.4 | 已完成,OK | ||
【ATP】后台新增批量导入包解析接口 | 已完成 | 1.3, 1.12, 5.3, 7.4, 9.2, 9.4 | |||
【ATP】关键数据持久化 | 已完成 | 目录挂载安全测试 | |||
【AppStore】支持修改应用属性 | 已完成 | ||||
【ATP】前台新增贡献管理页面 | 已完成 | ||||
【ATP】ATP首页优化 | 已完成 | ||||
【AppStore】关键数据持久化 | 已完成 | 目录挂载安全测试 |
Story | 开发状态 | 关联合规用例 | 合规测试状态 | 关联渗透用例 | 渗透测试状态 |
---|---|---|---|---|---|
【MECM】ak/sk config interface add app info | 已完成 | ||||
【MEP】服务发现增加鉴权认证 | 已完成 | ||||
【appstore】appstore支持虚机镜像的管理以及上传下载 | 已完成 | 1.2 | 已完成,OK | 007 | 已完成,OK |
【MECM】首页展示优化 | 已完成 | ||||
【developer】将部署调测分为资源配置和部署调测两部分,部署调测部分可选 | 已完成 | ||||
【Developer】能力中心界面优化重构 | 已完成 | ||||
【MECM】MECM支持applcm和apprulemgr注册统一 | 已完成 | ||||
【UserMgmt】支持非guest用户90天后必须修改密码 | 已完成 | 1.9, 1.14 | 已完成,OK | 功能绕过测试 | |
【UserMgmt】支持admin首次登录成功后强制修改密码 | 已完成 | 1.9, 1.14 | I3VVX5不通过,其余通过 | 功能绕过测试 | |
【UserMgmt】个人帐号中心展示我的权限(角色+可访问平台) | 已完成 | ||||
【developer】虚机镜像管理(用户,管理员权限) | 已完成 | 1.12 | 已完成,OK | ||
【developer】虚机资源配置可编辑 | 已完成 | ||||
【developer】支持配置app_configuration, 支持定义AK/SK, APP分流规则,DNS规则等 | 已完成 | ||||
【ATP】测试用例增强 | 已完成 | ||||
【AppStore】应用管理界面https://e.gitee.com/OSDT/issues/list?issue=I3OYGU | 已完成 | 1.12 | |||
【MEP】关键数据持久化 | 已完成 | ||||
【MEP】 Code quality improvement | 已完成 | ||||
【MEP】Public the UPF capability to EdgeGallery | 已完成 | ||||
【MEP】MEP adapter register to EdgeGallery MEP and UPF | 已完成 | 1.1, 1.3, 1.5, 2.2, 3.1 |
Story | 开发状态 | 关联合规用例 | 合规测试状态 | 关联渗透用例 | 渗透测试状态 |
---|---|---|---|---|---|
【atp】统一容器和虚拟机appd为zip | 已完成 | ||||
【MEP】Sync services bi-directional(1. UEG-EG, 2. EG-UEG) | 已完成 | ||||
【MEP】timing api | 已完成 | 1.1, 1.3 | 测试中 | ||
【MEP】transport api | 已完成 | 1.1, 1.3 | 测试中 | ||
【Developer】工作空间,文档(从集成工具中提到一级菜单)界面优化重构 | 已完成 | ||||
【ATP】ATP支持虚机APP的实例化和终止用例 | 已完成 | ||||
【MECM】MECM支持虚机APP包同步和分发,MECM support app package management of VM app | 已完成 | ||||
【MECM】mecm支持VIM预配置 MECM support the preconfig of OpenStack | 已完成 | ||||
【MECM】mecm支持虚机APP的实例化和终止 VM APP instantiation and termination support. | 已完成 | ||||
【developer】虚机mepagent的集成 | 已完成 | ||||
【developer】支持配置app_configuration, 支持定义AK/SK, APP分流规则,DNS规则等 | 已完成 | ||||
【developer】input根据不同的操作系统,导入不同的初始化脚本 | 已完成 | ||||
【AppStore】应用在线体验 | 已完成 | 1.2 | 已完成,OK | 007 | 已完成,OK |
【User-Mgmt】接口响应规范优化 | 已完成 | ||||
【MEP】接口响应规范优化 | 已完成 | ||||
【Atp】接口响应规范优化 | 已完成 | ||||
【AppStore】接口响应规范优化 | 已完成 | ||||
【User-Mgmt】关键数据持久化 | 已完成 |
测试用例包括:测试用例ID,测试目的,测试描述,测试工具及其配置,测试步骤,预期结果等。
测试用例模板请参考 测试用例模板 。
测试结果包括:通过 / 不通过
Security test cases include Security Compliance Test Cases and Penetration Test Cases.
Test cases include: test case ID, test purpose, test description, test tool and configuration, test steps, expected results, etc.
Please refer to Test Case Template for test case templates.
Test results include: pass / fail
缺陷/漏洞统一在Gitee中录入,录入方法请参考操作指南。
缺陷/漏洞优先级分为:严重,主要,次要,一般。
Bugs/vulnerabilities are entered in Gitee. Please click operation guide.
The priority of bugs/vulnerabilities is divided into: serious, major, minor, and general.
No. | Tool name | version | purpose | comment |
---|---|---|---|---|
1 | BurpSuite | v2020.9.1 | Capture http package for analyzing | ... |
2 | OWASP ZAP | 2.9.0 | Comprehensive vulnerability scanning tool | |
3 | SenInfo | 2.0.10 | Scan for sensitive information |
No. | Tool name | version | purpose | comment |
---|---|---|---|---|
N/A | ... | ... | ... |
测试完毕后,将生成 “EdgeGallery v1.2安全测试报告”。
After the test, plain to export “EdgeGallery v1.2 Security Test Report”.
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。