Обзор тестирования защиты

С помощью Rational AppScan Tester Edition можно запускать тесты защиты непосредственно из Quality Manager.

Программное обеспечение Rational AppScan Tester Edition разработано для упрощения распределения ответственности за тестирование защиты в организации между заинтересованными сторонами, а также для помощи пользователям в тестировании на наличие уязвимостей, таких как межсайтовое выполнение сценариев, переполнения буферов и внедрение SQL на ранних этапах во время жизненного цикла доставки веб-приложения.

Тесты защиты должны выполняться в экспериментальной среде, например, на промежуточном сервере или на сервере Quality Assurance. Это помогает лучше определить риски, связанные с выполнением сканирования защиты. Экспериментальная среда должна насколько возможно отражать рабочую среду — исполняемые файлы приложения должны быть в обеих средах одинаковыми — тогда можно быть уверенным, что приложение тестируется всесторонне.

Выполнение сканирования защиты в рабочей среде не рекомендуется из-за рисков, связанных с этими проверками. Иногда сканирование рабочей среды необходимо: для удовлетворения требований аудита, для обнаружения факта взлома сайта либо для проверки, что процесс SDLC интеграции сканирования защиты выполняется. Вне зависимости от причины лучше начинать сканирование в экспериментальной среде и затем переносить его в рабочую среду. Это позволяет гарантировать меньший риск от тестов защиты для серверов.

Атаки на основе браузера используют ошибки в коде веб-приложений. Наиболее уязвимы для этого типа атак следующие виды программного обеспечения:

Проверки защиты должны быть интегрированы в процесс жизненного цикла разработки программного обеспечения (SDLC) для возможности решить проблемы безопасности до того, как они смогут повлиять на рабочие среды.

Дополнительная информация приведена в справочной системе Information CenterRational AppScan Tester Edition..


Комментарии