Что пишут в блогах
- Мои 12 недель в году. Часть 26 (Лицензия на ИП и 3-я книжка!)
- Как войти в новый проект: взаимоотношения с командой и пользователями, тестовая лаборатория
- Баги - отдельные задачи или комментарии?
- Митап от Тинькофф “Техтолк инженеров по тестированию” 20 марта 2024
- Опрос: поделитесь мнением про техдолг
- Если вы стали QA-менеджером
- Книга "Баг-трекинг: локализация и оформление дефектов" уже в продаже!
- Топ 30 вопросов на собеседовании на тестировщика ПО (Junior QA)
- Идеальный час
- Обратная связь и самомотивация
Что пишут в блогах (EN)
- Five for Friday – April 5, 2024
- The Possible and Impossible: Mathematical Thinking for Planning
- Looking back at Agile Testing, 15 years on
- Does Test Automation Necessarily Make Our Jobs Easier?
- 10 Bad Reasons Why Companies Don’t Hire Testers
- Judging Developers by GitHub Contributions
- Five for Friday – March 29, 2024
- Translating Agile Testing Condensed the unconvential way – part 3
- From Head of QA to Freelancing – Interview with Leonardo
- Five for Friday – March 22, 2024
Онлайн-тренинги
-
Английский для тестировщиковНачало: 22 апреля 2024
-
Школа Тест-АналитикаНачало: 24 апреля 2024
-
Python для начинающихНачало: 25 апреля 2024
-
Автоматизация тестов для REST API при помощи PostmanНачало: 25 апреля 2024
-
Азбука ITНачало: 25 апреля 2024
-
Школа для начинающих тестировщиковНачало: 25 апреля 2024
-
Тестирование производительности: JMeter 5Начало: 26 апреля 2024
-
Логи как инструмент тестировщикаНачало: 29 апреля 2024
-
Тестирование REST APIНачало: 29 апреля 2024
-
Автоматизация тестирования REST API на JavaНачало: 1 мая 2024
-
Тестирование безопасностиНачало: 1 мая 2024
-
Автоматизатор мобильных приложенийНачало: 1 мая 2024
-
Тестирование мобильных приложенийНачало: 1 мая 2024
-
Автоматизация тестирования REST API на PythonНачало: 1 мая 2024
-
Инженер по тестированию программного обеспеченияНачало: 2 мая 2024
-
Техники локализации плавающих дефектовНачало: 6 мая 2024
-
Тестирование без требований: выявление и восстановление информации о продуктеНачало: 13 мая 2024
-
Тестировщик ПО: интенсивный курс со стажировкой (ПОИНТ)Начало: 14 мая 2024
-
Тестирование юзабилити (usability)Начало: 15 мая 2024
-
Git: инструменты тестировщикаНачало: 16 мая 2024
-
Docker: инструменты тестировщикаНачало: 16 мая 2024
-
Регулярные выражения в тестированииНачало: 16 мая 2024
-
SQL: Инструменты тестировщикаНачало: 16 мая 2024
-
Bash: инструменты тестировщикаНачало: 16 мая 2024
-
Консольные утилиты Android: инструменты тестировщикаНачало: 16 мая 2024
-
Chrome DevTools: Инструменты тестировщикаНачало: 16 мая 2024
-
Charles Proxy как инструмент тестировщикаНачало: 16 мая 2024
-
Тестирование веб-приложений 2.0Начало: 17 мая 2024
-
Организация автоматизированного тестированияНачало: 17 мая 2024
-
Школа тест-менеджеров v. 2.0Начало: 22 мая 2024
-
Создание и управление командой тестированияНачало: 23 мая 2024
-
Автоматизация функционального тестированияНачало: 24 мая 2024
-
SQL для тестировщиковНачало: 27 мая 2024
-
Программирование на Java для тестировщиковНачало: 31 мая 2024
-
Selenium IDE 3: стартовый уровеньНачало: 31 мая 2024
-
Погружение в тестирование. Jedi pointНачало: 3 июня 2024
-
Программирование на C# для тестировщиковНачало: 7 июня 2024
-
Аудит и оптимизация QA-процессовНачало: 7 июня 2024
-
Комплексная система подготовки тестировщиков по программе ISTQB FLНачало: 17 июня 2024
-
Selenium WebDriver: полное руководствоНачало: 28 июня 2024
| Как тестирование улучшает безопасность |
| 25.06.2019 15:34 |
|
Уязвимости безопасности и сохранности данных – наибольшие риски, с которыми сталкивается любой продукт. Один публичный инцидент может разорить компанию, или, как минимум, нанести по ней серьезный удар – это помимо урона, нанесенного командному духу. Логично сделать вывод, что тестирование безопасности – это очень важно. Однако не думаю, что вы пробовали в нем разобраться. Это довольно сложный, запутанный мир, и для того, чтобы стать эффективным тестировщиком безопасности, понадобится много специальных знаний и высокий уровень технической подготовки. Не у всех есть время или склонность к изучению необходимого минимума для этого рода тестирования, но это не значит, что мы не можем помочь повысить безопасность. Хорошее тестирование дает на выходе более безопасный продукт. Множество угроз безопасности – межсайтовый скриптинг, сниффинг пакетов, SQL-инъекции – вы не найдете без хотя бы некоторых специальных знаний, но этим тестирование безопасности не ограничивается. Понятный код Если вы можете понять код, вам гораздо легче увидеть возможные уязвимости безопасности во время код-ревью. Чистый код также упрощает работу инструментам анализа безопасности – им становится легче искать проблемы и недостатки. Тестирование, конечно, может сделать код более понятным. Даже если вы не разбираетесь в программировании, вы можете этому помочь. Посмотрите на код-ревью, и даже если вы не знаете, как писать код, вы должны быть способны следить за тем, что в нем происходит. Если переменные, методы и классы хорошо названы, а код внятно организован, у вас должно появиться хотя бы минимальное представление о том, что происходит. Я сейчас не говорю о поиске багов во время код-ревью – только о базовом понимании, о чем этот код говорит. Если вы не можете даже этого, это может быть признаком того, что код без нужды усложнен, или что его элементы плохо поименованы и структурированы. Не надо быть разработчиком, чтобы помочь команде добиться более внятного кода. Иногда все, что требуется – это спросить, почему мы делаем это именно так? Что происходит здесь? Вы поразитесь, но такие простенькие вопросы могут помочь выявить непонятный код, и даже если они этого не делают – вы узнаете о системе чуть-чуть больше, а это само по себе неплохо! Исследовательское тестирование Многие уязвимости безопасности не требуют знаний профессионального хакера для обнаружения. К примеру, прочитайте эту статью о подборе паролей с использованием Google. Это требовало минимальных знаний о том, как пользоваться Google, и людям не понадобилось ничего технически сложного, обычно ассоциирующегося со взломом защиты. Поиск путей, при помощи которых мы можем случайно сделать частную информацию доступной – это исследовательское, креативное упражнение ума. Подобный навык сильно развит у любого хорошего тестировщика, и именно его мы будем использовать, чтобы помочь предотвратить проблемы безопасности. Подумайте о необычных способах, при помощи которых люди могут использовать ваше приложение, или о том, как они могут попытаться обойти ваши ограничения. Хорошее исследовательское тестирование может выявить массу уязвимостей безопасности. Само знание, что на код будут пристально смотреть, используя подобный подход, может принести пользу всей команде разработки – коллеги начнут принимать во внимание тех неидеальных пользователей, которых может заинтересовать наш продукт. Отслеживание Конечно, упор на качество может повысить безопасность приложения и рядом других способов, но несмотря на это убедиться, что дыры безопасности полностью отсутствуют, очень трудно, если вообще возможно. Здесь в игру вступает мониторинг. Нужно обдумать, как мы будем обнаруживать и оперативно решать проблемы с безопасностью, с которыми мы можем столкнуться. Размышления, что может пойти не так, и что мы можем проверить, чтобы узнать, что это произошло – это тоже задача тестировщика, и еще один способ, которым тестирование повышает безопасность приложения. Итак, не забывайте про важность целевого тестирования безопасности приложений, но всегда держите в уме, что наибольший вклад в безопасность продукта вносит его высокое качество. Оно, как и чистый код, не гарантирует безопасность, но может помочь ее повысить! |
