我有一个 Spring MVC 应用程序。我没有自动化测试过程。我也没有保护应用程序。
我的问题是我应该首先做什么?
或
【问题讨论】:
标签: spring security spring-mvc testing e-commerce
保护系统或应用程序(强化)必然会意外破坏功能。因此,您始终需要在硬化后进行测试。
另一方面,如果某些东西在硬化后不起作用,你怎么确定是因为硬化而不是因为其他原因?
换句话说,你需要同时做这两件事。在保护应用程序之前进行测试,并在保护应用程序后再次测试。如果时间和资源有限,您应该尝试在测试前后的范围内找到平衡。
编辑:如果使用生产数据进行测试,并且用户身份验证和授权以及控制对此生产数据的访问非常重要,那么在让其他用户测试之前先独立测试应用程序的强化和内部安全性应用。实际上,这意味着可能只有有限数量的受信任用户可以在应用程序的保护发生之前进行功能测试。
【讨论】:
安全测试永远不会找到一切。
因此,在测试之前,您应该尽可能地保护您的应用程序。
切勿将安全测试结果用作生成“锁定列表”的一种方式。从一开始就建立安全性,尽可能地保护您已经知道的内容。
当您认为自己已准备就绪时,请运行一些安全扫描以找出漏洞。
而且我总是建议在最后聘请一家外部公司,以便对其进行渗透测试以找到您从未想过的事情。
【讨论】: