Security-тестирование
Тема дорожной карты · QA-инженер
Тестирование безопасности — это специализированная дисциплина обеспечения качества, сфокусированная на обнаружении уязвимостей, неправильных конфигураций и слабых мест в приложении или инфраструктуре, которые могут быть использованы злоумышленниками. Тестирование безопасности охватывает несколько техник — тестирование на проникновение, сканирование уязвимостей, моделирование угроз, фаззинг и проверку кода — каждая из которых нацелена на разные уровни системы: от сети и HTTP-трафика до логики приложения и SQL-запросов. Основные инструменты: OWASP ZAP и Burp Suite для сканирования веб-приложений, Postman для ручного зондирования безопасности API, и OWASP Top 10 как контрольный список, обеспечивающий покрытие тестами инъекций, сломанной аутентификации, SSRF и XSS среди прочих критических рисков. Интеграция тестирования безопасности в CI/CD-пайплайны через Docker-сканирования ZAP и рабочие процессы GitHub Actions смещает безопасность влево, чтобы уязвимости обнаруживались в процессе разработки, а не после производственного инцидента.
Как это работает
Security-тестирование покрывает OWASP Top 10 (инъекции, сломанная auth, утечки sensitive-данных и пр.), инструменты (OWASP ZAP, Burp Suite, sqlmap, nikto), процесс (threat modeling, secure design review, pen testing). QA-уровень security-тестирования: валидация input, SQL-инъекция на каждом input, XSS в любом HTML-рендерящем поле, тесты границ authentication + authorisation, верификация rate-limit, ревью секретов в логах. Глубокий pen test обычно требует выделенного security-инженера или внешнего сервиса.
Когда применять
Интегрируйте базовые security-проверки в regression (SQLi, XSS, broken auth) — стоят дёшево, ловят постыдные баги. OWASP ZAP automated scan в CI — дешёвое покрытие. Ежегодный external pen test — для любого продукта с деньгами или персональными данными. Поддерживайте security-regression suite на каждую пофикшенную уязвимость — повторные эксплойты худший вид.
Типичные ошибки
Ловушки Security-тестирование: мысль, что "internal app" оправдывает отсутствие security (insider threat + скомпрометированные credentials = та же проблема); только ZAP-сканы без ручного ревью (сканеры пропускают business-logic уязвимости); auth-тесты только в "happy path" (privilege escalation живёт на границах); pen-test единожды и забыли (новый код = новые уязвимости).