我叫小何。本以为我的人生会一直平淡,没想到它的出现,让我走上了一条逆袭之路……
这天,小何按进度可以完成新上线功能的全部测试工作。除了功能测试,这期领导还要求小何试用新采购的IAST交互式应用安全测试工具,完成安全测试。
多亏工具省力,小何只需踏实做功能测试,工具会根据他的点击在后台自动完成安全测试。
测试完成后,除了输出功能测试报告,工具还会自动输出安全测试报告。
接着,他按照功能测试的反馈流程,协调研发和安全同事完成功能及安全问题的优化和修复。
数日后,小何被上级领导马总约去喝咖啡,要求汇报首次使用应用安全测试工具的效果。
小何神色骄傲地亮出一份发现问题和妥善解决所有问题的清单,得到了领导极大的肯定:“问题处理得的确到位,即使有些难以解决的问题,也从业务角度出发,尽可能平衡了安全性。”
小何被问得哑口无言。这款应用已研发数年,小何入职时也并没有拿到所有接口的清单。慌乱之中,决定采取缓兵之计。
小何说:“领导,我回去思考一下,看如何能够体现整个测试的覆盖度。”随后,小何找到了IAST供应商的对接人——小默。
小何没想到与供应商一拍即合,立即将IAST升级到最新版本。果然如小默所说,界面上可以清晰看到系统agent自动发现的所有API接口,以及已测试和下一步需要测试的接口列表,并可根据API地址直接搜索和定位。
经过该项目核心研发专家的检验校对,IAST 自动发现的API 覆盖范围远超出了内部曾大致统计过的API数量。
参照IAST发现的API接口列表,小何和团队参照重新做了一期测试,查漏补缺。完成测试后,小何带着更加完善的测试报告来到马总办公室,汇报通过工具的API自动发现功能,确保测试覆盖足够全面。
小何认真负责的工作态度、出色的沟通和解决问题的能力给马总留下了深刻的印象。因为此次工作表现,小何被提拔为测试主管……
————————–讲正事专用分割线————————-
雳鉴IAST
API自动发现
根据大量用户的使用反馈,雳鉴IAST于近日率先推出API自动发现功能,用于解决无法获知测试覆盖率的普遍痛点。
测试覆盖率,是评价测试完整性的重要度量标准之一,也是安全测试效果的重要保障因素,由测试需求和测试用例的覆盖或已执行代码的覆盖来表示。在传统安全测试领域,一般通过爬虫技术获取接口信息,但这种技术存在天然缺陷,比如在前后端分离应用中无法较好地获取到应用全量的开放接口。
雳鉴IAST API自动发现功能能够解决传统技术的弊端,通过运行在应用内部的插桩Agent,稳定高效地获取到应用对外的API接口。通过这项功能,用户可以在雳鉴服务端直观查看应用所有接口,以及已测试和下一步需要测试的接口列表,做到安全测试有条不紊、心中有数!
来源:freebuf.com 2021-06-30 10:24:52 by: 默安科技
请登录后发表评论
注册