开发工作流程中的安全测试
SDLC开发阶段的安全测试代表了开发人员第一次有机会确保他们开发的各个软件组件在与其他组件集成并内置到应用程序之前进行了安全测试。软件组件可能包含软件工件,如函数,方法和类,以及应用程序编程接口,库和可执行文件。对于安全性测试,开发人员可以依靠源代码分析的结果来静态验证开发的源代码不包含潜在的漏洞并且符合安全编码标准。安全单元测试可以进一步动态地(即,在运行时)验证组件按预期运行。
在应用程序构建中集成之前验证源代码通常是高级开发人员的责任。这些高级开发人员也是软件安全方面的主题专家,他们的角色是领导安全的代码审查。他们必须决定是否接受要在应用程序构建中发布的代码,还是需要进一步的更改和测试。可以通过正式接受以及工作流管理工具中的检查来强制执行此安全代码审查工作流程。例如,假设用于功能错误的典型缺陷管理工作流,可以在缺陷或变更管理系统上报告由开发人员修复的安全漏洞。
测试工作流程中的安全测试
在开发人员测试组件和代码更改并检入应用程序构建之后,软件开发过程工作流程中最可能的下一步是作为整个实体对应用程序执行测试。此级别的测试通常称为集成测试和系统级测试。当安全测试是这些测试活动的一部分时,它们可用于验证整个应用程序的安全功能,以及应用程序级漏洞的风险。这些应用程序的安全