作者:禅与计算机程序设计艺术
1.简介
软件安全漏洞一直是系统安全面临的一个重要课题。软件漏洞对任何一个系统都是一个巨大的威胁,因此为了保障系统的安全,需要持续不断地测试、检测和修复软件漏洞。
自动化构建、持续集成、部署、测试、监控等是DevOps(开发运维)实践中的一些重要环节。其中自动化测试是很重要的一环,主要用于检查新上线或更新版本软件是否存在安全漏洞。
本文将主要从以下几个方面阐述持续测试的必要性:
- 检测出更多漏洞
- 更快响应漏洞披露
- 提升软件质量和可靠性
2.基本概念术语说明
2.1 什么是软件安全漏洞?
软件安全漏洞一般指的是一类软件问题,当其被攻击者利用时可能导致系统崩溃、数据泄露、数据篡改等严重后果。如SQL注入、跨站脚本(XSS)、CSRF(跨站请求伪造),这些安全漏洞影响系统的正常运行,并且给攻击者带来巨大的损失。
2.2 测试过程简介
通过测试可以发现并防范软件安全漏洞。测试包括两部分,静态分析和动态测试。
静态分析:静态分析是白盒测试方式,通常只会对源代码进行扫描,不会涉及到运行时的执行环境,可以快速、全面的发现一些已知漏洞。
动态测试:动态测试则是在运行过程中模拟真实场景,依照用户行为输入、点击、接口调用等对软件功能和流程进行模拟攻击,验证软件是否能够正确地处理恶意的数据,找出潜在的漏洞。
静态分析需要手动编写测试用例,手动修改源码并运行