46. Тестирование, основанное на
рисках (Risk-based)
Основано на матрице угроз и
рисков
Тестирование «негативных»
сценариев
Концентрация на том, что нельзя
сделать
Думать, как злоумышленник
53. Требования к безопасности ПО
Приложение не должно взламываться
Приложение не должно «падать»
Доступ по сети должен быть безопасным
Как это протестировать?
54. Этапы тестирования безопасности
Анализ угроз
Анализ
уявимостей
Матрица угроз
и рисков
Определение
критериев
защищенности
Простые тесты
Анализ исходного
кода
Сбор
информации
Нагрузочные
тесты
Тесты на
проникнов
ние
Внешняя экспертиза
Решение проблем
Fuzz
тестирование
Нефункциональное
тестирование
Тестирование,
основанное на
рисках
Подготовка
Тестирование
Планирование Проектирование Разработка Внедрение
56. Выводы
Тестирование безопасности - это необходимый этап для компаний,
которым важен безопасный “софт”
Невозможно измерить качество тестирования безопасности
57. Выводы
Тестирование безопасности - это необходимый этап для компаний,
которым важен безопасный “софт”
Невозможно измерить качество тестирования безопасности
Не стоит думать, что функционального тестирования достаточно
58. Выводы
Тестирование безопасности - это необходимый этап для компаний,
которым важен безопасный “софт”
Невозможно измерить качество тестирования безопасности
Не стоит думать, что функционального тестирования достаточно
Можно и необходимо постоянно изучать новые технологии
59. Выводы
Тестирование безопасности - это необходимый этап для компаний,
которым важен безопасный “софт”
Невозможно измерить качество тестирования безопасности
Не стоит думать, что функционального тестирования достаточно
Можно и необходимо постоянно изучать новые технологии
Тестирование безопасности похоже на исследовательское
60. Выводы
Тестирование безопасности - это необходимый этап для компаний,
которым важен безопасный “софт”
Невозможно измерить качество тестирования безопасности
Не стоит думать, что функционального тестирования достаточно
Можно и необходимо постоянно изучать новые технологии
Тестирование безопасности похоже на исследовательское
Необходимо проводить экспертизу
61. Выводы
Тестирование безопасности - это необходимый этап для компаний,
которым важен безопасный “софт”
Невозможно измерить качество тестирования безопасности
Не стоит думать, что функционального тестирования достаточно
Можно и необходимо постоянно изучать новые технологии
Тестирование безопасности похоже на исследовательское
Необходимо проводить экспертизу
Особое внимание архитектуре и компонентам