功能测试 #
确保所有组件和流程按设计正常工作。
-
测试用例设计
围绕核心业务流程设计端到端(E2E)测试用例集:-
身份与接入流程:新组织注册、审批、连接器部署注册、凭证获取。
-
数据发布与发现流程:数据产品创建、元数据发布、目录查询(支持关键词和语义检索)。
-
数据合约与使用流程:合约协商、签署、基于合约的数据访问(成功)、违规访问(被拒绝)、隐私计算任务发起与执行。
-
运营与治理流程:审计日志查看、计费账单生成、参与方管理操作。
-
-
测试执行
-
环境搭建:建立独立的测试环境,模拟生产环境架构。
-
自动化测试:对API接口进行全面的自动化测试(使用Postman, JMeter),并将E2E流程编写成自动化脚本(使用Selenium, Cypress),纳入持续集成(CI)流水线。
-
性能测试:模拟多参与方并发进行数据发现、合约签署和数据传输,评估系统在高负载下的响应时间、吞吐量和稳定性。
-
安全测试 #
安全是可信数据空间的命脉,必须进行严苛的验证。
-
渗透测试
聘请具备国家级资质的第三方安全团队进行白盒/黑盒渗透测试。-
测试范围:涵盖服务平台Web界面、API接口、连接器管理界面、以及各个网络边界。
-
测试重点:注入漏洞、身份认证与会话管理缺陷、敏感信息泄露、权限越权、供应链安全等。
-
输出与整改:测试团队需出具详细的《渗透测试报告》,包含漏洞描述、风险等级、复现步骤和修复建议。项目团队必须彻底整改所有中高危漏洞,并经过复测验证。
-
-
隐私保护验证
验证隐私增强技术是否真正达到了设计的安全目标。-
联邦学习验证:验证模型训练过程中,各方的原始训练数据是否确实未被传输;尝试通过反演攻击从共享的梯度信息中推断原始数据,评估泄露风险。
-
差分隐私验证:验证注入的噪声是否符合理论分布,并实际测试在多次查询下,通过差分攻击重建原始数据的可能性,确保隐私预算(ε)未被耗尽。
-
TEE验证:通过远程证明(如Intel SGX Remote Attestation)机制,验证计算任务确实运行在 genuine 和未被篡改的TEE飞地中,并检查飞地与外界的通信是否均经过加密。
-
合约策略验证:模拟各种边界和异常情况,测试连接器的策略执行引擎是否在所有场景下都能正确拦截违规操作,并生成准确的审计事件。
-
