在测试整个应用程序之前是否应该配置应用程序的安全性?
Should security of application be configured before testing the entire application?
我有一个 Spring MVC 应用程序。我没有自动化测试过程。我也没有获得申请。
我的问题是我应该先做什么?
- 我应该配置应用程序的安全性吗?
或
- 我应该开始测试我的 Spring MVC Web 应用程序并开发测试用例吗?
安全测试永远找不到所有东西。
因此,在测试之前,您应该尽可能保护您的应用程序。
切勿将安全测试结果用作生成 "lock down list" 的方式。从一开始就建立安全性,根据您已知的信息尽可能多地保护它。
当您认为自己已准备就绪时,运行 进行一些安全扫描以找出漏洞。
而且我总是建议最后聘请一家外部公司,以便对其进行渗透测试,以发现您从未想过的事情。
保护系统或应用程序(强化)必然会意外破坏功能。因此,您总是需要在硬化后进行测试。
另一方面,如果加固后某些东西不起作用,您怎么确定是加固的原因而不是其他原因?
换句话说,你需要两者都做。在保护应用程序之前进行测试,并在保护应用程序之后再次测试。如果时间和资源有限,您应该尝试在测试前后的范围内找到平衡点。
编辑:如果测试是使用生产数据完成的,并且用户身份验证和授权以及控制对该生产数据的访问非常重要,那么首先独立测试应用程序的强化和内部安全性,然后再让其他用户使用测试应用程序。事实上,这意味着在保护应用程序之前,可能只有有限数量的受信任用户可以进行功能测试。
我有一个 Spring MVC 应用程序。我没有自动化测试过程。我也没有获得申请。
我的问题是我应该先做什么?
- 我应该配置应用程序的安全性吗?
或
- 我应该开始测试我的 Spring MVC Web 应用程序并开发测试用例吗?
安全测试永远找不到所有东西。
因此,在测试之前,您应该尽可能保护您的应用程序。
切勿将安全测试结果用作生成 "lock down list" 的方式。从一开始就建立安全性,根据您已知的信息尽可能多地保护它。
当您认为自己已准备就绪时,运行 进行一些安全扫描以找出漏洞。
而且我总是建议最后聘请一家外部公司,以便对其进行渗透测试,以发现您从未想过的事情。
保护系统或应用程序(强化)必然会意外破坏功能。因此,您总是需要在硬化后进行测试。
另一方面,如果加固后某些东西不起作用,您怎么确定是加固的原因而不是其他原因?
换句话说,你需要两者都做。在保护应用程序之前进行测试,并在保护应用程序之后再次测试。如果时间和资源有限,您应该尝试在测试前后的范围内找到平衡点。
编辑:如果测试是使用生产数据完成的,并且用户身份验证和授权以及控制对该生产数据的访问非常重要,那么首先独立测试应用程序的强化和内部安全性,然后再让其他用户使用测试应用程序。事实上,这意味着在保护应用程序之前,可能只有有限数量的受信任用户可以进行功能测试。