在安全审计的上下文中，“负载测试”和“压力测试”有什么区别？

Question

我正在为CCSP检查做准备，并试图在安全上下文中围绕“负载测试”和“压力测试”的概念。

我认为这里的区别是：

• 负载测试是一种衡量能力的方法，它是纯和简单的。它关注的是"A“(可用性)，而不关心失败状态的安全影响。
• 应力测试的重点是系统在达到负载饱和点后的行为。例如，软件/服务是否以惊人的方式失败？它是否显示敏感错误(软件版本、后端基础结构细节等)？

我在这里走得对吗？

Answer 1

有几个不同的定义，不过，我使用的一个定义是，负载测试将一个应用程序提升到其预期的最大负载级别，以确保其执行。压力测试是将一个应用程序的正常参数通过，看看它是如何承受比预期更大的负载的。这有时被称为酷刑测试，看看一个应用程序是如何崩溃的。

从安全的角度来看，您应该始终关注安全性的影响。无论一个应用程序暴露在多少负载中，它都应该始终遵循它的安全参数，或者如果它将要失败，那么失败是安全的。

Answer 2

负载测试和压力测试是两种不同类型的测试，但它们属于性能测试的范围。

在这里，虽然这两个词听起来非常相似，但它们的含义却非常不同。

在负载测试中，您可以测试应用程序中的特定页面是否在设定的时间内加载，即使受到高负载的影响。从这个意义上说，Load指的是用户的数量。当用户数量增加时，某些应用程序可能会有较高的加载时间。负载测试可以识别这个问题，并帮助开发人员使用更轻的API或使用更少的代码来完成他们希望在特定页面中完成的任务。一些服务级别协议要求应用程序中的特定页面在一定时间内打开。在这种情况下，负载测试也会有所帮助。

在压力测试中，您可以逐步增加用户，而不是某些已知的用户数量，并查看应用程序在什么时候开始失败。当在wireshark上捕获时，在失败点的压力测试输出可能会显示内部服务器错误代码。但是，在这里，您还可以让开发人员开发更优化的代码，或者可能使用其他安全机制来保护应用程序。