21.02.2017
Тестирование на проникновение, являясь частью тестирования безопасности, считается отдельной отраслью QA. Им занимаются специалисты, которые ставят целью найти уязвимости в системе и всячески пытаются проникнуть в нее. Компания A1QA предлагает своим клиентам комплексное тестирование программного обеспечения, в том числе и анализ безопасности разработки. За почти полтора десятилетия компания сумела выбиться в лидеры своей отрасли в Восточной и Центральной Европе, поэтому ей доверяют свои проекты такие киты промышленности и коммерции, как Газпромбанк, Форекс Клуб, Белгазпромбанк. В команде A1QA — четыре сотни инженеров по качеству, причем все они — специалисты с опытом, квалификацией, нужными навыками. Поэтому им по плечу любые задачи, от тестирования мобильных приложений до консалтинга в разработке крупных проектов e-commerce и других отраслей.
Тестирование на проникновение производится одним из трех способов. Их называют методами белого, серого и черного ящика. Такие названия объяснимы и легко запоминаются, стоит только понять принцип: тестирование методом белого ящика предполагает, что человек, пытающийся проникнуть в систему, хорошо осведомлен о ее особенностях. Соответственно, серый ящик подразумевает частичную осведомленность, а черный — ее полное отсутствие.
Здесь хотелось бы сделать небольшое лирическое отступление. Вообще работа тестировщиков нередко ошибочно считается легкой, не требующей особых знаний. Как рассуждают те, кто так считает? Примерно так: сиди себе, да ищи ошибки разработчиков, подвергая программу разным испытания «на прочность» — нажимай кнопки, запускай разные сторонние программы, да еще и в Интернете полно сайтов, где можно прямо онлайн проверить систему на производительность, юзабилити и так далее.
Однако чтобы найти баг, нужно знать, где его искать, не правда ли? Случайно повезти неквалифицированному тестировщику может пару раз, а вот основная масса дефектов останется им незамеченной. Инженеры по качеству — люди с особым логическим мышлением, потрясающей внимательностью к деталям и способностью сосредотачиваться на задаче.
Возвращаясь к теме тестирования на проникновение, нужно сказать, что оно является частью тестирования безопасности. Кроме того, туда также входит общая оценка защищенности, поиск и анализ уязвимостей, статический анализ кода и оценка готовности продукта к сертификации.
Что же касается перечня приложений, нуждающихся в анализе безопасности, то он очень велик: фактически любая программа может стать объектом интереса злоумышленников, ну за исключением калькулятора, разве что, и то не факт. На безопасность проверяются интернет-магазины, онлайн-игры, обучающие приложения, порталы, куда пользователи заходят за новостями или развлечениями. А еще — системы хранения данных, корпоративные почтовые серверы, финансового, бухгалтерского, налогового учета и так далее.
Прежде всего, стоит понимать, что инженеры по качеству, приглашенные для оценки безопасности программного обеспечения, будет решать задачи постепенно: не ждите, что всем баги будут устранены моментально. Аудит защищенности системы займет определенное время, как и подготовка рекомендаций по закрытию «узких» мест и повышению устойчивости к кибер-атакам.
Получив от тестировщиков подробное описание каждой уязвимости системы, разработчик сможет не только исправить найденные дефекты, но и не допустить их появления в своем следующем программном продукте. Поэтому тестирование на проникновение можно по праву назвать хорошим способом для разработчика повысить свой скилл.
Давно работающие тестировщики, которые уже имели опыт столкновения с самыми разными видами атак на ПО, прекрасно знают, как быстро видоизменяется, модифицируется и совершенствуется хакерское оснащение. Число угроз растет с каждым днем, обнаружить их все сложнее, как и противостоять им. Поэтому такие команды, как A1QA, вкладывают серьезные средства в обучение сотрудников, изучение последних тенденций отрасли информационной безопасности. Обращаясь к ним, вы можете быть уверены, что получите действительно качественно оказанные услуги с учетом эффективных мировых практик.