认识达内从这里开始

软件测试和软件开发都是一个软件项目中必不可少的组成部分，随着互联网的不断发展，越来越多的企业也开始关注软件测试技术的发展与应用，下面我们就通过案例分析来简单的了解一下，安全测试的常用方法都有哪些。

1、安全测试的重要性

软件测试是软件开发生命周期必不可少的一环，是重要的组成部分。测试有多种形式，按照测试类型，可以分为界面类测试、功能测试、性能测试、文档测试等。传统的功能测试和非功能测试能够通过某种形式隐式发现程序中的某些漏洞，如密码格式验证，但是这些测试并不是专门寻找安全缺陷的，也不够全面，无法保证应用程序或服务已经通过了全面的安全漏洞测试。安全测试可以测试软件在遭到没有授权的内部或者外部用户的攻击/恶意破坏时如何进行处理，能够保证软件和数据的安全。

安全测试是DevSecOps实践的关键部分，软件程序经过各种方法的测试以保证质量。安全测试不仅应涉及软件程序，还应关注端到端管道、实时生产系统、软件基础设施、数据库以及中间件，以降低任一环节的安全攻击风险。安全测试是一个专业领域，拥有自己的一套工具和实践，旨在暴露这些漏洞。

2、应用程序安全测试AST

在前面的攻击对象统计数据中可见，应用程序仍然是主要的攻击对象，应用程序是客户和核心业务功能之间的网关。客户使用应用程序访问企业提供的服务或购买产品，远程办公形式的兴起，使得企业对应用程序的依赖更强，所以应用程序的安全至关重要，在安全测试中，应用程序安全测试也是当其冲，目前业界常用的技术主要分为静态应用程序安全测试SAST、动态应用程序安全测试DAST、交互式应用程序安全测试IAST三类。

3、静态应用程序安全测试SAST

静态应用程序安全测试，是通过检查应用程序的源代码来发现程序代码存在安全漏洞的测试方法。有些工具也会依赖于编译过程甚至是二进制文件，通过一些抽象语法树、控制流分析及污点追踪等技术手段来提升检测覆盖度和准确度。

4、动态应用程序安全测试DAST

动态应用程序安全测试，是在不需要系统源码的情况下，通过模拟攻击者的行为构造特定的输入给到应用程序，分析应用程序的行为和反应，从而确定该应用是否存在某些类型的安全漏洞。常见的工具如针对Web应用商业和开源的AWVS，还有一些针对电脑或终端AppScan等。

5、交互式应用程序安全测试IAST

交互式应用程序安全测试，是一种运行时检测工具，依赖于应用程序在被监控时的活动，可监控流经应用程序的流量，以确定底层源代码是否容易被利用。IAST监控正在运行的应用程序的数据流以确定是否存在保护数据的安全控制。

6、软件组成分析SCA

应用程序成为外部攻击的主要对象，其中的一个原因就是开源软件的使用不断增多，为了加快开发速度，开发者会大量复用成熟的组件、库等代码的使用，从而使更多的API暴露在外。组织的代码库包含不是由开发人员编写的代码。不知道它是否经过安全测试，或者它是否包含恶意代码或恶意软件。更糟糕的是，许多这些开源库依赖于其他开源库来提供更多功能。这意味着组织的大多数应用程序不是由组织的工程师编写的，面临的挑战在于了解这些依赖项是否安全，如果不安全，如何确保它们安全。

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请加danei0707学习了解。欢迎关注“达内在线”参与分销，赚更多好礼。