セキュリティ テストの種類をお探しですか。動的および静的分析はセキュリティ テストの一部ですか? QAテスターとして、セキュリティテストを実行するためにプログラミングまたはコーディング言語の知識を知る必要がありますか? STLC または SDLC のどのフェーズでセキュリティ テストを実行できますか?
1 に答える
0
最良の結果を得るには、コードの作成中に自動テストを実行する必要があります。プログラマーは、IDE で静的および動的コード アナライザー プラグインを使用して継続的にテストする必要があります。展開の直前に一連の調査結果が開発者に提示された場合、修正は問題になります。膨大な量のエラーには気が遠くなるでしょう。偽陽性と取るに足らない結果の数は、真の陽性を不明瞭にします。さらに、コードは開発チームの頭の中で新鮮ではありません。多くの開発者は先に進みます。プロジェクトに残っている人は、退職した同僚が書いたコードに慣れていない可能性があります。
Chess and West の Secure Programming with Static Analysis をお勧めします。「 Web アプリケーション セキュリティに重点を置いたチームの構築」および「インタラクティブなアプリケーション セキュリティ テストの有効性」の議論も参照してください 。コードがどのように悪用可能であるかを示すことは、この発見を別の誤検出として一蹴することを困難にします。
ソフトウェア ソース コードの静的解析テストは必要ですが、十分ではありません。MITRE Common Weakness Enumeration の約 1,000 エントリのうち、40% は開発ライフ サイクルのアーキテクチャおよび設計フェーズで導入できます。CWE-701: https://cwe.mitre.org/data/lists/701.htmlの設計中に導入された弱点を参照してください。
その性質上、アーキテクチャと設計の欠陥を静的分析で見つけるのは困難です。さらに、アーキテクチャと設計のエラーの修正は複雑になる可能性があり、追加の欠陥を挿入する可能性があり、敵対者にこれらの弱点の存在を警告する可能性があります。さらに、Heartbleed 脆弱性が示すように、設計上の欠陥により、静的解析で検出される可能性のあるコーディング バグがわかりにくくなる可能性があります。
プログラミングと、使用される言語とフレームワークについて知れば知るほど、開発者がエラーを防ぐのをより効果的に支援できるようになります。プログラミングと、使用される言語とフレームワークについて知れば知るほど、開発者がエラーを防ぐのをより効果的に支援できるようになります。
于 2014-04-29T19:57:17.940 に答える