Что пишут в блогах
- Мои 12 недель в году. Часть 26 (Лицензия на ИП и 3-я книжка!)
- Как войти в новый проект: взаимоотношения с командой и пользователями, тестовая лаборатория
- Баги - отдельные задачи или комментарии?
- Митап от Тинькофф “Техтолк инженеров по тестированию” 20 марта 2024
- Опрос: поделитесь мнением про техдолг
- Если вы стали QA-менеджером
- Книга "Баг-трекинг: локализация и оформление дефектов" уже в продаже!
- Топ 30 вопросов на собеседовании на тестировщика ПО (Junior QA)
- Идеальный час
- Обратная связь и самомотивация
Что пишут в блогах (EN)
- Five for Friday – April 5, 2024
- The Possible and Impossible: Mathematical Thinking for Planning
- Looking back at Agile Testing, 15 years on
- Does Test Automation Necessarily Make Our Jobs Easier?
- 10 Bad Reasons Why Companies Don’t Hire Testers
- Judging Developers by GitHub Contributions
- Five for Friday – March 29, 2024
- Translating Agile Testing Condensed the unconvential way – part 3
- From Head of QA to Freelancing – Interview with Leonardo
- Five for Friday – March 22, 2024
Онлайн-тренинги
-
Практикум по тест-дизайну 2.0Начало: 19 апреля 2024
-
Английский для тестировщиковНачало: 22 апреля 2024
-
Школа Тест-АналитикаНачало: 24 апреля 2024
-
Python для начинающихНачало: 25 апреля 2024
-
Автоматизация тестов для REST API при помощи PostmanНачало: 25 апреля 2024
-
Азбука ITНачало: 25 апреля 2024
-
Школа для начинающих тестировщиковНачало: 25 апреля 2024
-
Тестирование производительности: JMeter 5Начало: 26 апреля 2024
-
Логи как инструмент тестировщикаНачало: 29 апреля 2024
-
Тестирование REST APIНачало: 29 апреля 2024
-
Автоматизатор мобильных приложенийНачало: 1 мая 2024
-
Автоматизация тестирования REST API на JavaНачало: 1 мая 2024
-
Автоматизация тестирования REST API на PythonНачало: 1 мая 2024
-
Тестирование безопасностиНачало: 1 мая 2024
-
Тестирование мобильных приложенийНачало: 1 мая 2024
-
Инженер по тестированию программного обеспеченияНачало: 2 мая 2024
-
Техники локализации плавающих дефектовНачало: 6 мая 2024
-
Тестирование без требований: выявление и восстановление информации о продуктеНачало: 13 мая 2024
-
Тестировщик ПО: интенсивный курс со стажировкой (ПОИНТ)Начало: 14 мая 2024
-
Тестирование юзабилити (usability)Начало: 15 мая 2024
-
Chrome DevTools: Инструменты тестировщикаНачало: 16 мая 2024
-
Git: инструменты тестировщикаНачало: 16 мая 2024
-
Docker: инструменты тестировщикаНачало: 16 мая 2024
-
SQL: Инструменты тестировщикаНачало: 16 мая 2024
-
Charles Proxy как инструмент тестировщикаНачало: 16 мая 2024
-
Консольные утилиты Android: инструменты тестировщикаНачало: 16 мая 2024
-
Регулярные выражения в тестированииНачало: 16 мая 2024
-
Bash: инструменты тестировщикаНачало: 16 мая 2024
-
Тестирование веб-приложений 2.0Начало: 17 мая 2024
-
Организация автоматизированного тестированияНачало: 17 мая 2024
-
Школа тест-менеджеров v. 2.0Начало: 22 мая 2024
-
Создание и управление командой тестированияНачало: 23 мая 2024
-
Автоматизация функционального тестированияНачало: 24 мая 2024
-
SQL для тестировщиковНачало: 27 мая 2024
-
Программирование на Java для тестировщиковНачало: 31 мая 2024
-
Selenium IDE 3: стартовый уровеньНачало: 31 мая 2024
-
Погружение в тестирование. Jedi pointНачало: 3 июня 2024
-
Программирование на C# для тестировщиковНачало: 7 июня 2024
-
Аудит и оптимизация QA-процессовНачало: 7 июня 2024
-
Комплексная система подготовки тестировщиков по программе ISTQB FLНачало: 17 июня 2024
| Почему безопасность продукта – это такая сложная штука |
| 22.03.2017 12:15 |
|
Оригинал статьи: https://medium.com/@collingreene/why-product-security-is-hard-52e3f73178#.l1376jjjv Перевод: Ольга Алифанова Если недостатки ПО могут стоить миллионы долларов, очень полезно исследовать вопрос, почему так тяжело создать безопасное ПО. Работа над безопасностью вся целиком связана с трудностями, и цель статьи – собрать наиболее специфические для приложений сложности, чтобы в последующих статьях предложить их решения. Она не направлена на защиту безопасников -мол, без ошибок сделать ПО никак нельзя. Создание ПО – тяжелая работа Безопасность ПО – это очень трудно, но даже правильное создание программного продукта – непростая задача. Поиск багов безопасности – это подкатегория поиска багов в ПО. Программное обеспечение кардиостимулятора, спутника или линкора должно, возможно, быть идеальным в плане безопасности, но для большинства приложений самыми важными будут время до релиза, количество фич и другие подобные цели. Мы знаем, что создать идеальное ПО возможно, но это очень трудно, и зачастую не в приоритете. Nasa и марсоход "Curiosity" – это пример оптимизированного соотношения качества к нулевому количеству багов, потому что стоимость бага в ПО крайне высока. Неизвестное неизвестное Тестирование демонстрирует присутствие, а не отсутствие багов - Дийкстра, отчет 1969 года. Если бы мы заранее знали все уязвимости, которые мы ищем, не было бы никакого смысла их искать. Количество уязвимостей в 100000 строках кода, из которых состоит сервис $foo, заранее не известно. Вселенная не дает нам точной цифры вроде "вы нашли 16 из 27 багов, продолжайте поиски!" Писать код без багов и без того достаточно тяжело, но даже если бы это нам удавалось – еще тяжелее доказать, что в нем отсутствуют баги. Тяжело доказывать отрицания. У NIST есть отличная статья про безопасность и формальную верификацию, считающаяся стандартом отрасли. Отсутствие доказательств – это не доказательство отсутствия.
Потенциальные недостатки этого моста неизвестны, пока мы не начнем их искать. Противоречия Даже процесс измерения полного набора багов, которые может найти в определенном коде человек, различается в зависимости от того, кто их ищет, как, и что они ели на завтрак. Я проводил опыт в Фейсбуке – 10 компаний, консультирующих по безопасности, проводили аудит одного и того же кода. Код, аудит которого уже был тщательно проведен моей командой. Все десять компаний нашли одинаковый список поверхностных багов (около половины), но все остальные найденные ими баги различались, включая и те, о которых мы сами не знали. Каждый человек привносит в поиск багов свой опыт поисков багов безопасности. Сравните это с чем-либо вроде производительности (другой атрибут качества ПО), где измерение прогресса – дело простое и обычное. Противоречивость – другой способ поговорить о вероятностях. Как и поиск золотого песка, поиск багов безопасности включает трату сил на вероятность, а не на обещание, находки. Оппозиция Мы не всегда знаем, кто наши конкуренты. И слова, что нации активно пытаются ломать ПО конкурентов, не так уж далеки от истины. Я иногда думаю, что безопасность продукта – это гонка. Гонка для нас, чтобы найти недостатки безопасности до того, как кто-то еще использует их, чтобы нанести нам вред. Удельный вес Правильно определить серьезность уязвимости довольно тяжело. На работе мы дискутируем по этому поводу ежедневно, когда обсуждаем награды за найденные баги. Стоит ли один действительно отличный баг, который приводит к захвату чужой учетки, десяти менее критичных багов? Ста? Двум инженерам по безопасности тяжко прийти к общему времени, но вложения времени – это необходимое условие того, чтобы безопасность была на высоте. Мы пришли к выводу, что лучшая система оценки критичности багов – это CVSS. Ограничения Несмотря на все приложенные усилия и большие бюджеты, мы никогда не сможем глубоко покопаться в базе кода в поисках уязвимостей. Если мы даже сможем это сделать, то к моменту, когда мы закончим, продукт сильно изменится. Это не фатализм – это факт. Временные рамки Безопасность имеет куда большие временные рамки, чем кажется. Очень легко повредить безопасности, приняв решение, результаты которого вылезут на свет божий спустя годы. |
Автор: Коллин Грин (Collin Greene)