关闭。这个问题是opinion-based .它目前不接受答案。
想改善这个问题吗?更新问题,以便可以通过 editing this post 用事实和引文回答问题.
3年前关闭。
Improve this question
关于敏捷开发,每个版本测试安全性的最佳实践是什么?
如果是每月发布,是否有商店每个月都进行渗透测试?
最佳答案
你的应用领域是什么?这取决于。
由于您使用了“敏捷”这个词,我猜它是一个网络应用程序。我有一个很好的简单答案给你。
去购买 Burp Suite 的副本(这是“burp”的排名第一的 Google 搜索结果 --- 肯定的认可!);如果您等到 11 月,它会花费您 99EU,或约 180 美元,或 98 美元奥巴马美元。
Burp 用作网络代理。您使用 Firefox 或 IE 或其他工具浏览您的网络应用程序,它会收集您生成的所有点击。这些点击被输入到一个名为“入侵者”的功能中,这是一个网络模糊器。 Intruder 将找出您提供给每个查询处理程序的所有参数。然后它会为每个参数尝试疯狂的值,包括 SQL、文件系统和 HTML 元字符。在典型的复杂表单帖子中,这将产生大约 1500 次点击,您将通过这些点击来识别可怕的 --- 或者,更重要的是在敏捷上下文中,新的 --- 错误响应。
在每次发布迭代时对 Web 应用程序中的每个查询处理程序进行模糊测试是提高应用程序安全性的第一件事,而无需建立正式的“SDLC”和增加人数。除此之外,请查看主要 Web 应用安全热点的代码:
关于security - 是否有在敏捷开发商店中测试安全性的最佳实践?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2447/