OWASP Web 安全测试指南 WSTG -Web 安全测试框架

WSTG - 稳定 |OWASP基金会 第三节

本节介绍可在组织内开发的典型测试框架。它可以被看作是一个参考框架,由适用于软件开发生命周期 (SDLC) 各个阶段的技术和任务组成。公司和项目团队可以使用此模型来开发自己的测试框架,并确定供应商的测试服务范围。这个框架不应被视为规定性的,而是一种灵活的方法,可以扩展和塑造以适应组织的发展过程和文化

许多安全从业者仍然将安全测试视为渗透测试领域。如上一章所述,虽然渗透测试可以发挥作用,但它在发现错误方面通常效率低下,并且过度依赖测试人员的技能。它只应被视为一种实施技术,或提高对生产问题的认识。为了提高应用程序的安全性,必须提高软件的安全质量。这意味着在定义、设计、开发、部署和维护阶段测试安全性,而不是依赖等到代码完全构建的昂贵策略。

正如本文档引言中所讨论的,有许多开发方法,例如 Rational Unified Process、eXtreme 和 Agile 开发以及传统的瀑布方法。本指南的目的既不是建议特定的开发方法,也不是提供遵循任何特定方法的具体指导。取而代之的是,我们提出了一个通用的开发模型,读者应该根据他们的公司流程来遵循它。

该测试框架包括应进行的活动:

  • 在开发开始之前,
  • 在定义和设计过程中,
  • 在开发过程中,
  • 在部署期间,以及
  • 在维护和操作期间。

第 1 阶段:开发开始前

阶段 1.1 定义 SDLC

在应用程序开发开始之前,必须定义一个充分的 SDLC,其中每个阶段要有安全措施。

阶段 1.2 审查政策和标准

你可能感兴趣的:(安全测试技术和标准,web安全)