认证测试常见问题
测试流程类FAQ
- 认证测试发现的漏洞暂时无法修复的,能否遗留问题上架后再处理?
不可以,原则上是要求所有测试问题闭环后才能上架,特别是安全类的漏洞,属于安全要求基线,必须全部处理闭环才能上架。
- 完成项目认证测试的时间大概需要多久?
由于认证测试的具体工作都是伙伴负责,华为测试工程师主要负责方案的审核和支撑工作,所以如果想要尽快的完成测试,需要伙伴全力配合完成测试,建议一个产品至少投入1个测试和2个开发(开发主要是负责安全扫描后漏洞的修复工作)。在伙伴人力投入比较充分的前提下,一般10个工作日可以完成。
报告复用类FAQ
- 已通过华为其他的认证测试,能否复用之前的测试报告?
产品架构、产品功能、部署环境、产品类型(例如SaaS/License/API)一致的情况下,一般可以复用报告,但需要检查以下几点:
(1)涉及功能的新增,则需要进行补充测试。
(2)测试审核点或用例模板有更新,历史的报告存在未覆盖到的内容,则需要进行补充测试。对于伙伴Lead解决方案中的联合销售商品/通用商品,检查是否满足最新用例模板中联合销售商品/通用商品必测的安全测试用例。
(3)是否有遗留问题未闭环,如有需闭环遗留问题后再复用。
- 架构一样的情况下, Lincese可以复用SaaS的测试报告吗?
SaaS要求比License高,功能、架构一致的情况下,License一般可以复用SaaS的结果。反之不一定,伙伴产品如果设计就是单租户,不满足SaaS多租户需要做改造,而且SaaS的可靠性要求更高,具体情况需要由伙伴确认。
- 需要同时发布到公有云和HCS的方案,如何在一个环境做测试,另一个环境复用测试报告,避免重复测试。
(1)评估方法:
- 公有云的云服务,在HCS可能没有。
- 公有云和HCS都有的云服务,在HCS可能存在特性差异。
- 点击查看如何评估不同底座差异?
(2)联营上架过程中,有HCS部门的同事协助评估基于HCS底座的架构。
安全扫描类FAQ
- 二进制扫描报告有什么要求?
(1)二进制扫描用例中有对应的指标项要求,需要通过所有的指标项。解决方案工作台会显示各项指标是否通过,扫描界面参考如下,实际指标参数以解决方案工作台发布为准。图1 二进制扫描界面参考
(2)点击查看二进制成分分析扫描的对象;点击查看二进制成分分析支持的扫描规格(开发语言、文件类型、大小等)
- Web扫描如何判断是否扫描成功?
- 下载“Web扫描报告”,下拉到底部或者Ctrl+F搜索“扫描URL列表”,查看列表中是否存在登录后才能访问的url,若不存在,则说明扫描失败。
- Web扫描有哪些鉴权方式,如何选择?
需要根据您的系统的设计来选择适合您的web扫描的鉴权方式,一般分为以下几种情况:
- 若登录方式只需要输入账号密码,则可以选择“Web页面登录”的鉴权方式。
- 若输入账号密码之后,还需要输入验证码。可通过修改部署环境,临时禁用登录验证码,然后选择“Web页面登录”的方式 。
- 若采用了cookie的鉴权方式,则可以使用“cookie登录”的方式,并填入对应的cookie值。
- 如果您的网站登录之后不仅设置了cookie,还设置了storage,只提供cookie无法使漏洞管理服务正常登录网站,建议您通过浏览器插件“Cookie Getter”获取网站cookie、local storage和session storage值(点击查看“使用浏览器插件获取网站cookie和storage值的操作指导”),然后选择“cookie登录”的方式,并将插件获取到的JSON格式cookie和storage值全文复制到“cookie值”中。
- 若采用的是的是非cookie的鉴权方式,比如“token”鉴权方式,则可以选择“Header登录”的方式,并填入对应的key-value值。
图2 Web扫描的几种鉴权方式
- 若通过以上几种方式仍然扫描失败,比如您的网站存在多域名的情况,可使用手动导入探索文件的方式来进行扫描,探索文件录制参见手动探索文件录制指导。
图3 上传探索文件执行Web扫描入口
- VSS主机扫描,需要修复“限制root用户SSH远程登录”漏洞,此时需要配置普通用户和sudo提权用户来扫描,对于配置后扫描结果失败的情况,如何处理?
- 使用华为云的服务器,也需要做主机扫描吗?
需要分以下两种情况
- 如果您使用华为云的CCE来部署您的服务,且使用CCE的公共镜像,该镜像已经过安全加固,则无需做主机扫描。
- 若没有同时满足以上两个条件,比如未使用CCE的公共镜像,或者ECS使用的是私有镜像,则需要做主机扫描。
- 如需补测“防病毒”扫描的测试用例,如何操作?
- 方法1:通过执行用例名称为“【通用】【备用,可删除】【二进制扫描不支持时执行】防病毒扫描”这条测试用例。
依次点击“用例管理”--》“安全测试”--》“安全基础A1类”,找到“【通用】【备用,可删除】【二进制扫描不支持时执行】防病毒扫描”这条测试用例,点击该用例名称查看。如您的用例列表中不存在该用例,则需要您新增,方法可参考如何通过加载模板,加载最新的测试用例。
请仔细阅读用例的内容,选择适合您的场景,进行防病毒扫描,扫描完成后,执行该安全手工用例,在用例的实际结果中上传防病毒扫描的结果截图。
- 方法2:使用二进制新指标重新进行自动化扫描(新指标包含“病毒扫描”和“恶意代码扫描”检查项)。新增二进制自动化用例及新指标的方法可参考如何通过加载模板,加载最新的测试用例。执行二进制扫描后,结果参考如下,请注意页面上提示为“扫描结果:恶意软件扫描返回结果为空,请更新报告或重新扫描”,此时扫描不成功,需重新扫描。
测试内容类FAQ
- 访谈类的用例在哪可以查看?访谈类的用例具体需要怎么执行?
- 安全用例名称前有“【访谈类】”标签的用例为访谈类用例;如需提前查看,点击参考如何在模板找到全量用例?
- 访谈类用例执行:伙伴测试人员与开发或者产品进行访谈,确认是否满足测试用例步骤和预期结果内容,并将访谈结果填写在用例执行结果中(需附上访谈内容截图,可通过邮件或通讯软件等文字确认形式完成)。
- 架构中是否必须要有Anti-DDoS、WAF、CBH、HSS等可靠性产品?如果有上述可靠性产品,是否必须要测试?
- 对于联营商品和先进云软件认证:
(1)SaaS产品在架构必须要有Anti-DDoS、WAF、CBH、HSS等可靠性产品;
(2)License产品必须要有Anti-DDoS和HSS,是否需要配置CBH,需要视情况而定,如果资源是由客户自己管理,则不要求在伙伴方案中配置堡垒机,如果资源是由伙伴帮客户管理,则需要配置堡垒机。测试时需要进行可靠性云服务检查。
复用这2类报告时,如果之前未进行测试,但伙伴已经交付过,或者自评估可靠性产品接入无问题,可以不用补充可靠性云服务检查。
- 对于伙伴Lead解决方案中的联合销售商品/通用商品,不做强制要求,由伙伴和解决方案团队成员协商达成一致,满足方案需求和版本质量。
- 对于联营商品和先进云软件认证:
- 可维护性测试用例需要配置SSL证书到期提醒,如果使用了华为云的CCM云证书管理服务,如何配置SSL证书到期提醒?
- 使用了华为云的CCM云证书管理服务,如何配置SSL证书到期提醒,点击查看如何配置SSL证书到期提醒?
- 伙伴lead解决方案测试,需要测哪些内容?
- 对于伙伴Lead解决方案中的联营商品,参考华为云认证测试内容与要求。
- 对于伙伴Lead解决方案中的联合销售商品/通用商品,华为测试人员检查是否满足最新用例模板中联合销售商品/通用商品必测的安全测试用例。其他测试范围当前不做强制要求,由伙伴和解决方案团队成员协商达成一致,伙伴测试人员进行用例设计与执行,通过伙伴内部评审给出测试通过结论,确保满足方案需求和版本质量。
测试资源类FAQ
- 测试过程中购买的云服务过期后有宽限期和保留期,如何提前知晓购买的云服务到期后还能使用多长时间?
- 点击查看云服务有宽限期和保留期规则。
- 当遇到云服务相关的较复杂问题,例如云服务故障,环境部署失败等场景,需要如何处理?
- 需要提交工单给相应云服务,操作步骤点击查看提交工单。
- 伙伴可以在现网测试吗?
- 如果伙伴现网的部署架构与本次测试的架构一致、产品版本一致,则可以使用现网测试。
- 测试完成且通过报告评审后,测试环境需要保留吗?
- 如果伙伴没有计划将测试环境升级为生产环境,可以不保留。
