目录
讨论 API 安全性以及为什么我们应该关心它有点像谈论吃我们的蔬菜。我们都知道吃蔬菜对我们的健康有益,但我们有多少人真正做到了呢?应用程序安全性有点像这样。虽然它对我们的应用程序和我们的业务的健康至关重要,但为它而努力并不像构建酷炫的新应用程序功能那么有趣。但我们只需要看看最近的新闻标题就可以了解它的重要性。
传统上,验证应用程序或 API 的安全性是在开发过程结束时完成的。不过,这本质上是有问题的。修复发现的错误通常为时已晚:可能离发布日期太近而无法修复问题,或者团队可能已经转移到其他项目,或者应用程序的架构可能天生不安全。
此外,今天的服务和应用程序比以往任何时候都更频繁地发布,通常一天发布多次。这种快速发布的节奏使得传统方法站不住脚。
由于渗透测试成本高昂且需要很长时间才能运行,因此必须以可扩展和可持续的方式执行API 安全测试。
进入持续集成
为了解决这个问题,Parasoft将转向业界一直使用的解决方案,以解决发布周期加快的软件质量问题——持续集成。每当签入新代码时,持续集成就会生成构建,并通过为每个构建运行静态分析和单元测试来验证新代码。如果团队很复杂,他们甚至可能会使用 CI 创建和运行自动化功能测试(可能不是针对每个构建,因为功能测试通常需要很长时间才能运行,但至少在指定的时间间隔内运行,例如每天一次)。
通过将渗透测试引入Parasoft的 CI 工作流程,将相同的解决方案应用于 API 的自动化安全测试。这将确保更快地测试安全漏洞,并且它将提供安全回归测试,可以在新问题出现时立即捕获它们。但是需要对此保持谨慎,因为渗透测试成本高昂,并且可能需要很长时间才能运行。必须以可扩展和可持续的方式来做到这一点。
从功能测试开始
假设团队已
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
