Sekcje

Przejdź na skróty do treści. | Przejdź do nawigacji


Jesteś w: Start Baza wiedzy O testach bezpieczeństwa Kiedy wykonywać?

Kiedy wykonywać?

Po przeczytaniu dowiesz się:

  • W jakim momencie – biorąc pod uwagę cykl produkcji oprogramowania – można wykonywać testy bezpieczeństwa.

  • Czym charakteryzuje się każde z podejść.

  • Jakie są zalety oraz wady różnych podejść.

  • Która z metod jest najbardziej optymalna.

Wstęp

Poniższe podsumowanie zawiera momenty w cyklu produkcji oprogramowania, w których warto wykonywać testy bezpieczeństwa. W tekście, dla uproszczenia przyjęto iż testowane jest oprogramowanie. Jednakże przedstawione tezy są analogiczne dla sieci, systemów operacyjnych, czy innych elementów nowoczesnego systemu IT.

Na etapie testów przed wdrożeniowych/wdrożenia

Skrótowy opis

  • Aplikacja przed wdrożeniem, sprawdzana jest w ramach testów jakości (innymi słowy: przed udostępnieniem aplikacji użytkownikom, aplikacja jest sprawdzana pod względem poprawnego działania).

  • Testy jakości łączone z testami bezpieczeństwa.

  • Przed wdrożeniem aplikacji, wykryte błędy bezpieczeństwa muszą być naprawione.

  • Optymalnie, testy należy powtarzać przy każdym wdrożeniu istotnych  zmian w aplikacji.

Zalety

  • Oszczędność czasu – testy można skorelować ze standardowymi testami (np. funkcjonalnymi), wykonywanymi dla aplikacji przed wdrożeniem.

  • Nie dopuszcza się do wdrożenia niebezpiecznej aplikacji.

Wady

  • Pewne wykryte błędy mogą być bardzo trudne do naprawienia na tym etapie (np. poważne błędy architektoniczne, wymagające przebudowania dużej części aplikacji). Metodą zaradczą jest planowanie bezpieczeństwa aplikacji na wcześniejszych etapach produkcji - patrz dalej.

Po wdrożeniu produkcyjnym aplikacji

Skrótowy opis

  • Prace testowe wykonywane są na wdrożonej produkcyjnie aplikacji.

  • Wykryte błędy bezpieczeństwa naprawiane są "na bieżąco" - podobnie jak inne błędy (np. funkcjonalne) zgłaszane podczas działania aplikacji.

  • Metoda może przyjąć postać testowania okresowego (np. raz na rok) – mającego na celu wykryć ewentualne zmiany w całym środowisku, które mogą wpłynąć na bezpieczeństwo.

Zalety

  • Pozwala oszacować bezpieczeństwo już wdrożonej aplikacji.

  • Dobra do okresowego weryfikowania, czy w aplikacji nie zaszły pewne zmiany wpływające negatywnie na bezpieczeństwo (np. wdrożenie zmian w aplikacji/konfiguracji aplikacji z pominięciem testów bezpieczeństwa).

  • Optymalna, gdy uruchomioną aplikację rozbudowujemy o nowe funkcjonalności.

Wady

  • Jeśli na badanej aplikacji nie było wykonywanych wcześniej testów bezpieczeństwa, to aplikacja przed testami mogła narażona mogła być na niebezpieczeństwo i mogła zostać złamana.

  • Operacje naprawy na działającej aplikacji, mogą być bardziej czasochłonne niż na systemie, który jeszcze nie działał produkcyjnie (i np. nie został zasilony realnymi danymi).

Na każdym z etapów produkcji oprogramowania

Skrótowy opis

  • Na każdym z etapów produkcji oprogramowania (np. analiza, projektowanie, implementacja, testy, wdrożenie, utrzymanie) obecny jest specjalista od spraw bezpieczeństwa IT.

  • W zależności od etapu, wykonywane są prace konsultacyjne, projektowe lub testowe.

Zalety

  • Zapewnia maksymalne bezpieczeństwo dla aplikacji.

Wady

  • Stosunkowo wysokie koszty.

Podsumowanie

  • Optymalną metodą dla nowej aplikacji jest testowanie jej bezpieczeństwa przed udostępnieniem użytkownikom.

  • Po implementacji większej ilości nowych funkcjonalności, należy odpowiednio przetestować odpowiednią część systemu pod względem bezpieczeństwa .

  • Najskuteczniejsza (ale i najdroższa) to metoda polegająca na kontroli bezpieczeństwa aplikacji na każdym momencie jej produkcji. Metoda zalecana jest dla krytycznych aplikacji, przechowujących dane o wysokim stopniu istotności.

Więcej informacji

    Przydatne informacje? Polub nas na facebooku.

    Subskrybuj RSS:
    RSS

     

    Szkolenia
    Najbardziej interesowałoby mnie szkolenie z zakresu:




    Głosów : 406