1
正在尋找安全測試類型 是安全測試的動態和靜態分析部分?作爲QA測試人員,我們是否需要了解編程或編碼語言知識以執行安全測試? 我們可以在STLC或SDLC的哪個階段執行安全測試?基於Web的應用程序中的安全測試類型
A
回答
0
爲了獲得最佳結果,應在編寫代碼時執行自動化測試。程序員應該在其IDE中使用靜態和動態代碼分析器插件進行持續測試。如果開發人員在部署之前獲得一系列調查結果,那麼補救措施就會出現問題。錯誤的數量將是艱鉅的;假陽性數量和微不足道的結果將掩蓋真正的積極因素。而且,代碼在開發團隊的腦海中不會是新鮮的。許多開發人員將繼續前進;那些仍然在項目中的人可能不熟悉他們離去的同事編寫的代碼。
我推薦Chess和West的靜態分析安全編程。另請參閱Building a web application security focused team和Effectiveness of Interactive Application Security Testing的討論後者提出了交互分析如何向開發人員展示弱點是真正的威脅的論點;顯示代碼是如何被利用的,這使得很難擺脫這一發現只是另一個誤報。
軟件源代碼的靜態分析測試是必要的,但還不夠。在MITRE Common Weakness Enumeration中近1,000個條目中,40%可以在開發生命週期的架構和設計階段引入。參見CWE-701:設計中引入的弱點https://cwe.mitre.org/data/lists/701.html
從其本質來看,建築和設計缺陷很難通過靜態分析找到。此外,修復建築和設計錯誤可能很複雜,可能會注入更多的缺陷,並可以提醒對手這些弱點的存在。此外,設計缺陷可能會掩蓋靜態分析可能會檢測到的編碼錯誤,如Heartbleed漏洞所示。
您對程序設計以及使用的語言和框架的瞭解越多,您在幫助開發人員預防錯誤方面就越有效。您對程序設計和使用的語言和框架的瞭解越多,您將幫助開發人員預防錯誤的效率越高。
相關問題
- 1. Web應用程序安全測試
- 2. 基於AngularJS的Web應用程序的Web UI迴歸測試
- 3. 基於ASP.NET Web應用程序角色的安全性
- 4. 安全揭內部基於Web的應用程序世界
- 5. 測試Web應用程序的安全漏洞
- 6. .NET Web應用程序的安全漏洞測試工具?
- 7. Web應用程序基準測試
- 8. 功能測試基於JSP servlet的web應用程序
- 9. 如何測試一個基於jsp的web應用程序?
- 10. Appium:測試無法自動化基於Web的應用程序
- 11. tomcat中的安全web應用程序
- 12. J2EE7中的Web應用程序安全
- 13. 基於雲的安全測試?
- 14. Web應用程序安全
- 15. Web應用程序安全
- 16. 基於Spring安全的SSO適用於多種Web應用程序
- 17. 測試Web應用程序
- 18. Web應用程序測試
- 19. 測試Web應用程序?
- 20. 測試Web應用程序中的安全漏洞:最佳實踐?
- 21. 使用Selenium 2在Opera中測試基於框架的Web應用程序
- 22. 測試安裝程序 - 適用於應用程序的browsercam
- 23. Web應用程序的登錄安全
- 24. ASP.NET Web應用程序的安全庫
- 25. 在線安全的web應用程序
- 26. MVC應用程序中基於ACL的安全性
- 27. 基於測試控制檯的應用程序/程序 - Java
- 28. .NET Web應用程序的應用程序安全審計?
- 29. 僅適用於Silverlight應用程序的Web服務安全性?
- 30. 適用於Web應用程序的容器託管安全
最好是獲得適合開發人員環境的工具,而不是提供更全面覆蓋的工具。請參閱http://samate.nist.gov/index.php/Tool_Survey.html上的NIST軟件保障指標和工具評估項目工具調查和Web應用程序掃描器價格和功能對比的Shay Chen的SecTool頁面,網址爲http:// sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html – WaltHouser