安全專家如何對軟件進行安全測試?
當測試人員在進行軟件安全測試並發現了安全性漏洞時,他們要如何管理,並區分這些漏洞的優先次序?
在軟件中發現安全漏洞是一件事,而確保問題能夠有合適處理又是另外一件事。執行的許多測試和Web安全評估中,這類問題的處理方法極具挑戰。發現漏洞後,把具體發現和解決方案以正式執行的形式存檔。雖然解決方案還未完成,包括高級安全問題的解決方案,如SQL Injection、XSS和TLS。
過了審查階段,第二階段就是軟件安全測試部分。如果你跳過這一部分,那麼測試流程只會製造更多的債務,而不是解決債務。一但接收了來自諮詢師的報告後,假如你是負責任的就必須決定定下解決的方法。即使所發現的已經區分優先次序,但沒有人會像你的團隊那樣了解你的環境及風險承受能力。
既然你不可能修復所有項目,但你卻可以修復你的業務中出現的重要問題。建議你把發現的錯誤分成兩類:一類是關鍵的,這些問題可能正在被利用,對業務造成損害;另一類是非關鍵的,這些可能被利用的問題,會出現不好的行動,尤其結合一些其它的發現。你可以根據他們對敏感資訊的風險,解決過程的難易度(時間、複雜性等),以及組織上的其它標準一起來進行優先次序的分類及排序。
