我有一个Spring MVC应用程序。我没有自动化测试过程。我还没有获得申请 我的问题是我应该先做什么?
或
答案 0 :(得分:1)
安全测试永远找不到一切。
因此,在测试之前,您应该尽可能保护您的应用程序。
永远不要使用安全测试结果作为生成锁定列表的方法"。从一开始就建立安全性,尽可能地保护您已经知道的内容。
如果您认为自己已准备就绪,请运行一些安全扫描以找出差距。
我总是建议最后雇用一家外部公司,以便找到你从未想过的东西。
答案 1 :(得分:1)
保护系统或应用程序(强化)必然会意外破坏功能。因此,您总是需要在硬化后进行测试。
另一方面,如果硬化后某些东西不起作用,你怎么知道它是因为硬化而不是因为别的东西?
换句话说,你需要做两件事。在保护应用程序之前进行测试,并在确保应用程序后再次测试如果时间和资源有限,您应该尝试找到关于测试前后测试程度的平衡。
编辑:如果使用生产数据进行测试,并且用户身份验证和授权以及控制对此生产数据的访问非常重要,那么首先在让其他用户测试之前独立测试应用程序的强化和内部安全性应用。实际上,这意味着可能只有有限数量的可信用户才能在确保应用程序安全之前进行功能测试。