DevOps只是害怕尝试新事物。它们用于Selenium测试,这些测试占用了管道并提供了难以解释的结果,但是与此同时,它们经常避开了DAST测试,这远没有那么麻烦。

由于他们的应用程序是完全用Java开发的,Acunetix因此他们的质量检查流程涉及三种类型的测试。首先,有一些简单的用Java本身编写的单元测试。基本上,测试访问单个函数,将其提供给示例数据,获取输出值,并将输出值与期望值进行比较。而已。

然后,进行功能和集成的Selenium测试。这些测试遍及所有屏幕,并且基本上试图使Selenium像一个简单的爬网程序那样工作。根据设计,该搜寻器根本不会进入管理,配置或报告屏幕。

将每个Selenium动作产生的DOM结构与预期数据(之前手动记录的)进行比较。Acunetix如果存在差异,Selenium会对应用程序进行“截屏”,并基本上告诉开发人员“此屏幕上的某处存在错误,请查找并修复”。

他们的主要产品的整个质量检查测试过程大约需要4个小时。硒测试消耗了大部分时间。如果他们不减少创建新的Docker容器,则该过程将至少花费两倍的时间。每次测试后,他们只需运行一系列SQL命令并加载默认数据库内容,而不是加载整个环境。

在与Michael交谈之前,我对QA测试的知识还很理论。谈话后,我感到震惊。我从没想到Selenium测试会花费这么长时间,而可怜的开发人员只会有截图作为指导!

然后,我想到了两个想法。

第一个想法实际上是一个问题。为什么DevOps经理对SDLC中的DAST测试保持警惕?为什么他们说硒测试需要更长的时间呢?为什么当他们的Selenium测试只是为开发人员提供应用程序的屏幕快照时,为什么他们抱怨DAST并不指向一行代码?

我只能猜测,Acunetix这仅仅是因为SDLC中的DAST测试对他们来说是新手,或者他们在尝试运行免费的DAST产品方面有一些不好的经验。以我的观点,了解Acunetix的工作原理,SDLC中的DAST测试将花费Selenium消耗的时间的一小部分,并将为开发人员提供有关该错误的更多信息!当然,这不能解决Selenium的问题,但是它不会比已经解决的问题多得多。

我想到的第二个想法与我读过的一些营销技巧有关,这些技巧来自知名的被动式IAST工具制造商。这些营销材料错误地比积极/真实的IAST更全面地宣传其产品。如果Michael的公司的测试完全跳过了所有管理,配置和报告屏幕,那么如果使用被动IAST进行测试,其应用程序的安全性如何?毕竟,安全性测试将完全忽略产品功能的主要部分。

谈话之后,我得出了两个结论。首先,不是DAST产品的功能才是许多企业未能实施早期测试的真正原因。其次,我证实了自己的信念,即被动IAST并不是确保应用程序安全的好方法。

Acunetix在SDLC中的安全性测试的更多相关文章

  1. 【安全性测试】Android测试中的一点小发现

    在执行某个项目中的APP测试发现的两个问题,自然也是提供参考,作为经验记录下来. 一.通过apk的xml文件获取到某项目APP的账号和密码 使用eclipsel或者drozer,获得apk的xml文件 ...

  2. 如何在DevOps中实施连续测试

    在过去的十年中,对软件开发的需求已急剧发展.软件已成为公司获得竞争优势的关键优势,特别是如果您的公司属于SaaS范畴.通过在SDLC中实施瀑布等传统流程,组织现在正在向敏捷过渡,以便以更快的速度在市场 ...

  3. 初识App安全性测试

    目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可 ...

  4. 安全性测试入门:DVWA系列研究(二):Command Injection命令行注入攻击和防御

    本篇继续对于安全性测试话题,结合DVWA进行研习. Command Injection:命令注入攻击. 1. Command Injection命令注入 命令注入是通过在应用中执行宿主操作系统的命令, ...

  5. 安全性测试入门:DVWA系列研究(一):Brute Force暴力破解攻击和防御

    写在篇头: 随着国内的互联网产业日臻成熟,软件质量的要求越来越高,对测试团队和测试工程师提出了种种新的挑战. 传统的行业现象是90%的测试工程师被堆积在基本的功能.系统.黑盒测试,但是随着软件测试整体 ...

  6. 安全性测试:OWASP ZAP使用入门指南

    免责声明: 本文意在讨论使用工具来应对软件研发领域中,日益增长的安全性质量测试需求.本文涉及到的工具不可被用于攻击目的. 1. 安全性测试 前些天,一则12306用户账号泄露的新闻迅速发酵,引起了购票 ...

  7. H5测试点总结-UI测试、功能测试、兼容性测试、体验相关(弱网、资源、手机操作等)、安全性测试、性能测试

    一.概述 1.1 什么是H5 H5 即 HTML5,是最新的 Web 端开发语言版本,现如今,大多数手机 APP 页面会用 H5 实现,包括 PC Web 站点也会用它开发实现.所以 Web 的通用测 ...

  8. 入门级----黑盒测试、白盒测试、手工测试、自动化测试、探索性测试、单元测试、性能测试、数据库性能、压力测试、安全性测试、SQL注入、缓冲区溢出、环境测试

    黑盒测试 黑盒测试把产品软件当成是一个黑箱子,只有出口和入口,测试过程中只要知道往黑盒中输入什么东西,知道黑盒会出来什么结果就可以了,不需要了解黑箱子里面是如果做的. 即测试人员不用费神去理解软件里面 ...

  9. DevSecOps 运维模式中的安全性

    本文想从技术的角度谈谈我对云计算数据中心 DevSecOps 运维模式中的安全性的理解,和过去几年我在云服务业务连续性管理方面的探索. 现在公有云服务商都不约而同地转向 DevSecOps 模式.De ...

随机推荐

  1. vue+element-ui, el-upload组件 文件上传之前return false,会自动调用文件移除回调问题

    日常搬砖的时候,项目中在使用element-ui的上传组件,但是当我在文件上传文件之前的回调里面做了些文件格式的二次校验和文件大小的校验的时 然后 return false 会发现调用 文件移除的回调 ...

  2. redis 处理缓存击穿以及缓存雪崩

    缓存击穿 1. 缓存击穿简述 某一个热点数据在缓存中失效,请求穿过redis到达DB,造成DB压力过大 2. 怎么解决缓存击穿 1. 使用redis 作为分布式互斥锁(mutex lock) 实现步骤 ...

  3. MegEngine推理性能优化

    MegEngine推理性能优化 MegEngine「训练推理一体化」的独特范式,通过静态图优化保证模型精度与训练时一致,无缝导入推理侧,再借助工业验证的高效卷积优化技术,打造深度学习推理侧极致加速方案 ...

  4. nvGraph-NVIDIA图形库

    nvGraph-NVIDIA图形库 数据分析是高性能计算的不断增长的应用.许多高级数据分析问题可以称为图形问题.反过来,当今许多常见的图形问题也可以称为稀疏线性代数.这是nvGraph的动机,它利用G ...

  5. PointRCNN: 点云的3D目标生成与检测

    PointRCNN: 点云的3D目标生成与检测 PointRCNN: 3D Object Proposal Generation and Detection from Point Cloud 论文地址 ...

  6. 教你在Kubernetes中快速部署ES集群

    摘要:ES集群是进行大数据存储和分析,快速检索的利器,本文简述了ES的集群架构,并提供了在Kubernetes中快速部署ES集群的样例:对ES集群的监控运维工具进行了介绍,并提供了部分问题定位经验,最 ...

  7. springmvc——自定义类型转换器

    一.什么是springmvc类型转换器? 在我们的ssm框架中,前端传递过来的参数都是字符串,在controller层接收参数的时候springmvc能够帮我们将大部分字符串类型的参数自动转换为我们指 ...

  8. java并发编程JUC第十篇:CyclicBarrier线程同步

    在之前的文章中已经为大家介绍了java并发编程的工具:BlockingQueue接口.ArrayBlockingQueue.DelayQueue.LinkedBlockingQueue.Priorit ...

  9. PTA题目集4-6总结

    PTA题目集4-6总结 一:前言 在题集4-6中,所考查的主要知识点有正则表达式,类与类之间的调用,类的聚合,继承,封装,接口与多态,三种排序方法如选择排序,冒泡排序,插入排序,ArrayList,s ...

  10. NOIP模拟测试29「爬山·学数数·七十和十七」

    爬山题解不想写了 学数数 离散化然后找到以每一个值为最大值的连续子段有多少个,然后开个桶维护 那么怎么找以每一个值为最大值的连续子段个数 方法1(我的极笨的方法) 考试时我的丑陋思路, 定义极左值为左 ...