51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2354|回复: 1
打印 上一主题 下一主题

软件开发初期进行代码安全检测有哪些益处?

[复制链接]
  • TA的每日心情
    无聊
    昨天 09:05
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2021-8-24 13:04:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    越来越多的企业已经意识到,在代码开发早期进行安全测试是有益的。那么,没有进行早期代码安全检测将会面临哪些问题?检测之后又有什么益处?

      好处1:简化修补程序

      在开发过程中经常会用到开源代码及其他开发人员创建的代码,这些代码在编写规范上或语义语法上存在的问题及风险是未知的。通过早期代码安全测试,可以帮助开发人员第一时间发现安全问题,减少自行查找代码问题的工作量。而且早期进行代码安全测试,存储库中的代码将是安全的,因为这需要开发人员在完成开发任务前解决安全问题,反过来,也降低了重新修补程序的次数。

      好处2:加强开发人员安全意识

      利用早期代码安全检测,可以避免开发人员提交包含缺陷的代码,降低系统漏洞风险。这也会让开发人员更加重视自己的代码是否安全。因为存在缺陷的代码将无法通过安全检测,强制性的提高开发人员的安全意识。

      好处3:对开发人员进行安全知识教育

      学校通常会教学生复杂的开发技能,但在代码安全上缺少强有力的培训。通过早期进行代码安全检测,可以利用检测报告的提示及解决方案,帮助开发人员对问题代码进行修正,避免以后产生同类错误,同时提高安全代码编写技能。

      好处4:降低返工成本

      如果开发人员不小心将严重的漏洞引入应用程序的新功能,而且这个漏洞没有被代码审阅者注意到,并且在SDLC的早期阶段没有自动测试,那么这个问题的严重后果是不可预测的。要消除此漏洞,就不得不延迟发布版本,同时把代码返回给开发人员,然后再进行QA测试,最后再将应用程序从头开始调试,付出巨大的精力和时间。

      通过早期代码安全测试可以捕获大多数漏洞并及时被消除,减少因潜在风险导致的意外延迟,也避免在业务上造成重大损失。

      好处5:避免过早暴露漏洞

      有时为了确保版本及时上线而无法延迟,那么就不得不在发现漏洞后被迫继续发布这个版本。可想而知,向公众公开具有严重漏洞的软件有很大风险,同时也可能成为恶意黑客的下一个目标。尽管企业会选择Web应用程序防火墙(WAF)来暂时保护软件,但WAF保护并非万无一失。早期进行代码安全检测,团队不必担心在最后一分钟才发现问题,增强对软件版本安全的信心。

      现如今,越来越多的开发人员在DevSecOps下,他们通常会在代码存储库(例如,在Git中)中创建一个私有分支,然后运行CI / CD作业(例如,在Jenkins中)来构建该私有分支。如果代码正确编译,则CI / CD作业将运行一系列QA测试:单元测试,功能测试,集成测试等。通常利用SAST和/或IAST / DAST等方式进行安全测试。

      相较于IAST / DAST的检测方式,SAST(静态代码安全检测)是从源代码开始检测系统缺陷和漏洞,也就是说,静态代码安全检测方式能第一时间、以最直接的方式发现系统中存在的代码缺陷及系统漏洞,所以也可以说,静态代码安全检测在保护系统安全上首当其冲。在此基础上,后续再加上必要的DAST(动态应用程序安全测试)和Web应用程序防火墙(WAF)等手段,在保障网络安全上才更完备。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2021-6-9 14:08
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    2#
    发表于 2021-8-31 09:38:15 | 只看该作者
    关于安全性测试的资料和意识都还是少了点
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 23:39 , Processed in 0.066434 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表