Когда тестирование безопасности может быть отнесено к функциональным тестам, а когда к нефункциональным?

Тестирование безопасности относится к функциональному, когда проверяется реализация конкретных требований безопасности, прописанных в спецификации, например:

• Проверка корректной работы механизмов аутентификации и авторизации.
• Тестирование применения политик паролей (длина, сложность, срок действия).
• Валидация ввода данных на предмет предотвращения инъекций (SQL, XSS).
• Проверка доступа к ресурсам на основе ролей пользователей.

В этом случае тестируется, что система делает в части безопасности согласно явным требованиям.

Тестирование безопасности относится к нефункциональному, когда оценивается надежность и устойчивость системы к различным видам атак и угроз, а также ее соответствие стандартам безопасности без привязки к конкретным функциональным требованиям. Примеры:

• Пенетрационное тестирование (Penetration Testing) для выявления уязвимостей.
• Сканирование на уязвимости (Vulnerability Scanning).
• Анализ исходного кода на предмет потенциальных проблем безопасности (Static Analysis Security Testing - SAST, Dynamic Analysis Security Testing - DAST).
• Тестирование на отказ в условиях атак типа DDoS.
• Проверка соответствия стандартам безопасности (GDPR, HIPAA, PCI DSS).

Здесь оценивается, насколько хорошо система защищена и как она ведет себя под нагрузкой или при злонамеренных действиях.

Ключевое различие в том, что функциональное тестирование безопасности проверяет выполнение заявленных функций безопасности, а нефункциональное — общее качество и устойчивость защиты.