软件测试之开发初期进行代码安全检测

软件测试之开发初期进行代码安全检测

　　越来越多的企业已经意识到，在代码开发早期进行安全测试是有益的。那么，没有进行早期代码安全检测将会面临哪些问题?检测之后又有什么益处?

　　好处1：简化修补程序

　　在开发过程中经常会用到开源代码及其他开发人员创建的代码，这些代码在编写规范上或语义语法上存在的问题及风险是未知的。通过早期代码安全测试，可以帮助开发人员第一时间发现安全问题，减少自行查找代码问题的工作量。而且早期进行代码安全测试，存储库中的代码将是安全的，因为这需要开发人员在完成开发任务前解决安全问题，反过来，也降低了重新修补程序的次数。

　　好处2：加强开发人员安全意识

　　利用早期代码安全检测，可以避免开发人员提交包含缺陷的代码，降低系统漏洞风险。这也会让开发人员更加重视自己的代码是否安全。因为存在缺陷的代码将无法通过安全检测，强制性的提高开发人员的安全意识。

　　好处3：对开发人员进行安全知识教育

　　学校通常会教学生复杂的开发技能，但在代码安全上缺少强有力的培训。通过早期进行代码安全检测，可以利用检测报告的提示及解决方案，帮助开发人员对问题代码进行修正，避免以后产生同类错误，同时提高安全代码编写技能。

　　好处4：降低返工成本

　　如果开发人员不小心将严重的漏洞引入应用程序的新功能，而且这个漏洞没有被代码审阅者注意到，并且在SDLC的早期阶段没有自动测试，那么这个问题的严重后果是不可预测的。要消除此漏洞，就不得不延迟发布版本，同时把代码返回给开发人员，然后再进行QA测试，最后再将应用程序从头开始调试，付出巨大的精力和时间。

　　通过早期代码安全测试可以捕获大多数漏洞并及时被消除，减少因潜在风险导致的意外延迟，也避免在业务上造成重大损失。

　　好处5：避免过早暴露漏洞

　　有时为了确保版本及时上线而无法延迟，那么就不得不在发现漏洞后被迫继续发布这个版本。可想而知，向公众公开具有严重漏洞的软件有很大风险，同时也可能成为恶意黑客的下一个目标。尽管企业会选择Web应用程序防火墙(WAF)来暂时保护软件，但WAF保护并非万无一失。早期进行代码安全检测，团队不必担心在最后一分钟才发现问题，增强对软件版本安全的信心。

　　现如今，越来越多的开发人员在DevSecOps下，他们通常会在代码存储库(例如，在Git中)中创建一个私有分支，然后运行CI / CD作业(例如，在Jenkins中)来构建该私有分支。如果代码正确编译，则CI / CD作业将运行一系列QA测试：单元测试，功能测试，集成测试等。通常利用SAST和/或IAST / DAST等方式进行安全测试。

　　相较于IAST / DAST的检测方式，SAST(静态代码安全检测)是从源代码开始检测系统缺陷和漏洞，也就是说，静态代码安全检测方式能第一时间、以最直接的方式发现系统中存在的代码缺陷及系统漏洞，所以也可以说，静态代码安全检测在保护系统安全上首当其冲。在此基础上，后续再加上必要的DAST(动态应用程序安全测试)和Web应用程序防火墙(WAF)等手段，在保障网络安全上才更完备。
　　以上是关于软件测试的知识，由多测师亲自撰写! https://www.duoceshi.com/