Sie können Sicherheitstests mit Rational AppScan Tester Edition direkt aus Quality Manager ausführen.
Die Software Rational AppScan Tester Edition ist so konzipiert, dass Organisationen die Zuständigkeit für Sicherheitstests auf mehrere Beteiligte verteilen können. Außerdem bietet sie Benutzern die Möglichkeit, Tests für Sicherheitslücken wie Cross-Site-Scripting, Pufferüberlauf und SQL-Injection in einem frühen Stadium des Lebenszyklus zur Bereitstellung von Webanwendungen auszuführen.
Sicherheitstests sollten in einer Vorproduktionsumgebung ausgeführt werden, z. B. auf einem Staging-Server oder einem Quality Assurance-Server. Dadurch können die Risiken im Zusammenhang mit der Ausführung von Sicherheitssuchläufen besser eingegrenzt werden. Die Vorproduktionsumgebung sollte der Produktionsumgebung weitestgehend entsprechen (die Anwendung sollte in beiden Umgebungen dieselben ausführbaren Dateien aufweisen), damit sichergestellt ist, dass Sie die bereitgestellte Anwendung gründlich testen.
Das Ausführen eines Sicherheitssuchlaufs in einer Produktionsumgebung wird aufgrund der damit verbundenen Risiken nicht empfohlen. Suchläufe in einer Produktionsumgebung können manchmal erforderlich sein, um Prüfvorschriften zu genügen, um festzustellen, ob eine Hackerattacke auf die Site verübt wurde, oder um zu prüfen, ob der SDLC-Prozess zur Integration von Sicherheitssuchläufen implementiert wird. Es ist jedoch in jedem Fall besser, die Suchläufe zunächst in einer Vorproduktionsumgebung auszuführen und dann erst zu Suchläufen in der Produktionsumgebung überzugehen. Dadurch wird sichergestellt, dass die Sicherheitstests ein geringeres Risiko für die Server bedeuten.
Bei browserbasierten Attacken werden Schwachpunkte im webbasierten Anwendungscode genutzt. Die folgende Software ist für diese Arten von Attacken besonders anfällig:
Sicherheitssuchläufe sollten in den SDLC-Prozess (Software Development Lifecycle, Lebenszyklus der Softwareentwicklung) integriert sein, sodass Sicherheitsprobleme erfasst werden können, bevor sie in der Produktionsumgebung auftreten.
Weitere Informationen finden Sie im Rational AppScan Tester Edition Information Center..