我们可以使用现有的 OWASP ZAP 会话来测试新版本吗?
Can we use an existing OWASP ZAP Session to test for new release?
目前,我们每月发布一次。这个月我使用 OWASP ZAP 手动探索了应用程序并保存了会话。在下一个版本中,即下个月,我可以使用相同的会话来测试新版本吗?
理论上是的,但你为什么要这样做?
如果您不需要再次探索该应用程序,请注意,如果您不这样做,您可能会错过新的或更改的内容,因此可能会出现新的漏洞。要查看所有应用程序,您真的应该每次都从头开始探索它。
保持简短,从功能的角度来看,将以前保存的 owasp zap 会话用于新版本并没有什么坏处。
为什么不应该使用之前保存的 ZAP 会话
A new software release 基本上包含 either/all 以下内容:
- 新功能
- 功能增强
- 错误修复
在上述方面的粗略考虑中,产品的功能和非功能要求可能也发生了变化:
- 技术细节
- 数据操作
- 处理中
这些更改可能会解决之前发现的系统及其数据的安全风险和漏洞,也可能会增加新的安全风险和漏洞。
结论
因此,基于上述原因,始终建议启动软件 security-testing activity from a clean test environment, i.e. using a new zap 会话。
目前,我们每月发布一次。这个月我使用 OWASP ZAP 手动探索了应用程序并保存了会话。在下一个版本中,即下个月,我可以使用相同的会话来测试新版本吗?
理论上是的,但你为什么要这样做?
如果您不需要再次探索该应用程序,请注意,如果您不这样做,您可能会错过新的或更改的内容,因此可能会出现新的漏洞。要查看所有应用程序,您真的应该每次都从头开始探索它。
保持简短,从功能的角度来看,将以前保存的 owasp zap 会话用于新版本并没有什么坏处。
为什么不应该使用之前保存的 ZAP 会话
A new software release 基本上包含 either/all 以下内容:
- 新功能
- 功能增强
- 错误修复
在上述方面的粗略考虑中,产品的功能和非功能要求可能也发生了变化:
- 技术细节
- 数据操作
- 处理中
这些更改可能会解决之前发现的系统及其数据的安全风险和漏洞,也可能会增加新的安全风险和漏洞。
结论
因此,基于上述原因,始终建议启动软件 security-testing activity from a clean test environment, i.e. using a new zap 会话。