软件功能的验证与测试最为繁琐,而且成本也非常高,所以在平时软件测试过程中,除了验证测试功能、性能和可用性等之外,很难再投入大量时间和人力进行安全测试。通常只会在软件交付之前请安全专家进行短时间的安全审查,这样是很难找到业务相关的漏洞。所以在验证测试过程中,测试人员应该验证在需求分析和架构设计中得到的Evil Scenario和Threat,并且基于这些Evil Scenario和Threat开发特定的自动化安全功能测试,比如测试一个用户不能访问另外一个用户的数据,或者一个普通用户不能跨权限访问管理员界面等,从而能在平时的验证和测试工作中快速发现安全问题。