正在寻找安全测试类型 是安全测试的动态和静态分析部分?作为QA测试人员,我们是否需要了解编程或编码语言知识以执行安全测试? 我们可以在STLC或SDLC的哪个阶段执行安全测试?基于Web的应用程序中的安全测试类型
1
A
回答
0
为了获得最佳结果,应在编写代码时执行自动化测试。程序员应该在其IDE中使用静态和动态代码分析器插件进行持续测试。如果开发人员在部署之前获得一系列调查结果,那么补救措施就会出现问题。错误的数量将是艰巨的;假阳性数量和微不足道的结果将掩盖真正的积极因素。而且,代码在开发团队的脑海中不会是新鲜的。许多开发人员将继续前进;那些仍然在项目中的人可能不熟悉他们离去的同事编写的代码。
我推荐Chess和West的静态分析安全编程。另请参阅Building a web application security focused team和Effectiveness of Interactive Application Security Testing的讨论后者提出了交互分析如何向开发人员展示弱点是真正的威胁的论点;显示代码是如何被利用的,这使得很难摆脱这一发现只是另一个误报。
软件源代码的静态分析测试是必要的,但还不够。在MITRE Common Weakness Enumeration中近1,000个条目中,40%可以在开发生命周期的架构和设计阶段引入。参见CWE-701:设计中引入的弱点https://cwe.mitre.org/data/lists/701.html
从其本质来看,建筑和设计缺陷很难通过静态分析找到。此外,修复建筑和设计错误可能很复杂,可能会注入更多的缺陷,并可以提醒对手这些弱点的存在。此外,设计缺陷可能会掩盖静态分析可能会检测到的编码错误,如Heartbleed漏洞所示。
您对程序设计以及使用的语言和框架的了解越多,您在帮助开发人员预防错误方面就越有效。您对程序设计和使用的语言和框架的了解越多,您将帮助开发人员预防错误的效率越高。
相关问题
- 1. Web应用程序安全测试
- 2. 基于AngularJS的Web应用程序的Web UI回归测试
- 3. 基于ASP.NET Web应用程序角色的安全性
- 4. 安全揭内部基于Web的应用程序世界
- 5. 测试Web应用程序的安全漏洞
- 6. .NET Web应用程序的安全漏洞测试工具?
- 7. Web应用程序基准测试
- 8. 功能测试基于JSP servlet的web应用程序
- 9. 如何测试一个基于jsp的web应用程序?
- 10. Appium:测试无法自动化基于Web的应用程序
- 11. tomcat中的安全web应用程序
- 12. J2EE7中的Web应用程序安全
- 13. 基于云的安全测试?
- 14. Web应用程序安全
- 15. Web应用程序安全
- 16. 基于Spring安全的SSO适用于多种Web应用程序
- 17. 测试Web应用程序
- 18. Web应用程序测试
- 19. 测试Web应用程序?
- 20. 测试Web应用程序中的安全漏洞:最佳实践?
- 21. 使用Selenium 2在Opera中测试基于框架的Web应用程序
- 22. 测试安装程序 - 适用于应用程序的browsercam
- 23. Web应用程序的登录安全
- 24. ASP.NET Web应用程序的安全库
- 25. 在线安全的web应用程序
- 26. MVC应用程序中基于ACL的安全性
- 27. 基于测试控制台的应用程序/程序 - Java
- 28. .NET Web应用程序的应用程序安全审计?
- 29. 仅适用于Silverlight应用程序的Web服务安全性?
- 30. 适用于Web应用程序的容器托管安全
最好是获得适合开发人员环境的工具,而不是提供更全面覆盖的工具。请参阅http://samate.nist.gov/index.php/Tool_Survey.html上的NIST软件保障指标和工具评估项目工具调查和Web应用程序扫描器价格和功能对比的Shay Chen的SecTool页面,网址为http:// sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html – WaltHouser