27、敏捷团队中的安全测试与航空电子软件开发评估

敏捷团队中的安全测试与航空电子软件开发评估

一、敏捷团队安全测试现状

在敏捷团队中，安全测试目前很少利用安全风险评估，而这种评估在其他组织单元中通常以隐式或显式的形式存在。风险评估可用于开发基于风险的测试方法，这种方法能在测试期间指导决策，例如帮助选择和确定安全回归测试的优先级。有研究表明，使用风险分析方法不仅能发现更严重的风险，还能提升技能和加深对问题的认识。不过，为了理解如何在敏捷项目尤其是安全方面最佳地应用风险管理，还需要开展更多研究。

1. 研究局限性

对案例研究常见的批评也适用于此研究，包括独特性、结果难以推广以及参与者和研究人员引入的偏差。本研究将实证陈述的发现推广到理论陈述，主要依赖访谈数据，这些数据是信息的主要来源。

定性研究结果高度依赖背景和案例，本研究结果适用于四个参与团队的软件项目团队。尽管参与者都是在典型工作环境中使用典型开发技术的专业人员，但为了使结果更易推广，研究详细描述了每个案例和公司的主要特征，包括背景、数据收集、分析过程以及主要发现的引用。

和深入定性研究一样，本研究也需要在参与者数量、研究时长和成本之间进行权衡。虽然访谈对象数量在数量上不显著，但能深入洞察研究问题。

2. 研究结论

通过对来自奥地利和挪威的四个敏捷团队进行跨案例分析，研究了敏捷团队中安全测试的执行方式，包括安全工程过程的管理和组织、各测试阶段的安全测试执行以及安全测试技术在安全软件开发生命周期中的使用情况。

尽管研究仅基于四个敏捷团队的结果，但仍能为研究和实践提供建议。研究结果虽不意外，但令人担忧。敏捷团队普遍缺乏安全知识，过度依赖临时渗透测试人员，且忽视安全静态测试，这