Transforming and Selecting Functional Test Cases for Security Policy Testing

Tejeddine Mouelhi, Yves Le Traon, Benoit Baudry, ICST.2009

本文作者做的工作是：在对系统进行功能测试时，有对应的测试用例，现在提供一种自动化的方法，从这些测试用例中识别出覆盖到Security Policy（SP）功能的测试用例（假设叫TCS）。

这是第一步。第二步是将TCS进行转换，以生成针对SP的测试用例。当然同时要重新定义或者修改oracle function，以配合SP测试的过程。

第一步中TCS的是通过对SP rules植入mutation得到的。

SP难道就是access control吗？？？

作者测试目标是：验证PEP是否正确，即它是否正确实现了设计阶段所描述的系统和PDP的交互场景。   那么问题是，仅仅测试这一点，是否充分呢？对SP的测试是否还有其他重要的方面呢？

本文贡献：

1、提出了一个复用和自动将现有测试用例转换为SP测试用例的方法

思考：采用mutation方法，如果代码本身就有错（比如某条规则，实现时候写错了），那么测试用例执行结果就没有意义了，这会导致部署错误的rule被忽略

这个工作貌似很有用，但是具体有没有缺陷，我还要再仔细分析，仔细想