第六章 项目计划与控制



            项目的改变这些产品都会发生变法生产出不同的版本，试想一下，如果配置管理
            失效，项目工作人员势必会深陷配置项的“泥潭”。很明显我们应该加强项目过
            程的任何部分细节。
                 流程管理在软件项目管理中的使用，降低了软件项目管理的复杂性，增加
            了软件项目的成功率。事实也证明，根据企业和项目的实际情况，制定软件项目

            的实施步骤，确定产品的用处，指明各阶段的开始条件和终止条件，进行有效的
            流程控制与管理，这样将会极大的提高了软件开发的效率和降低项目的失败率。






                               第三节 项目安全计划与控制


                 一、软件测试与软件安全性的整体性

                 软件测试是一种系统性的方法，目的是验证和评估软件系统或应用程序的

            正确性、健壮性、可靠性、安全性、完整性、可伸缩性以及符合性等各个方面，
            软件安全性是指软件系统对恶意攻击、漏洞利用和其他不良行为的抵御能力。它
            包括多个方面，涉及机密性、完整性、可用性等方面的保护。现代软件安全攻击

            场景的形式多样，常见的有 Web 应用程序攻击、恶意软件攻击、社交工程攻击、
            跨站点脚本攻击（XSS）、无线攻击、物理攻击和数据流攻击等。
                 Web 应用程序攻击：攻击者利用 Web 应用程序中的安全漏洞，例如 SQL 注入、
            XSS、CSRF 等，获取用户的敏感信息、篡改数据、窃取资产等。恶意软件攻击：
            攻击者通过恶意软件（例如病毒、蠕虫、木马等），感染电脑、控制操作系统、

            窃取用户信息、攻击其他网络、勒索财产等。社交工程攻击：攻击者通过伪装
            成信任的实体，例如通过电子邮件、短信或社交媒体平台，引诱受害者透露敏
            感信息或进行其他恶意操作。跨站点脚本攻击（XSS）：攻击者利用 Web 服务器

            中包含可执行脚本代码的文本域，注入脚本，以获取受害者浏览器中的 Cookie、
            Session 中的信息，甚至获取关键信息。无线攻击：攻击者利用无线网络漏洞攻
            击网络，例如中间人攻击、热点假冒等，获取目标网络的敏感信息、控制网络、
            窃取联系人等。物理攻击：攻击者通过攻击服务器、盗窃或攻击设备，例如破解
            加密密码、模拟设备身份、篡改硬件等，窃取或篡改数据、控制硬件等。数据流



                                                                                    191
                                                                                    191