שילוב בחינות אבטחה בתהליך ה – QA

זה מכבר ידוע כי טרם העברת אפליקציות לייצור הן עוברות תהליך מסודר של QA ע"י גורם פנימי או גורם חיצוני מומחה בנושא. ניר ולטמן וקבוי לכנר מסבירים…
זה מכבר ידוע כי טרם העברת אפליקציות לייצור הן עוברות תהליך מסודר של QA ע"י גורם פנימי או גורם חיצוני מומחה בנושא. הדבר הפך לשיגרה והינו מובן ומקובל. בחינות QA אבטחתיות עם זאת עדין נחשבות לחריגות במקרים רבים.
יש להדגיש כי אין המדובר בבחינת אפליקציה אבטחתית רגילה אלא בבחינה עמוקה הרבה יותר הכוללת בין השאר: תסריטי הרשאות ברמת כל מסך ושדה, בחינת תהליך ההזדהות אל מול מסמכי האפיון והמתודולגיות המומלצות, תסריטי קיצון אשר בבחינת אפליקציה רגילה לא בהכרח ייבדקו או לא יבדקו בהיקף המלא, חשיפת מידע שלא טופלה באפיון המקורי ועוד. יש לציין כי בדיקה זו שונה מבחינת אפליקציה אבטחתית המוכרת כיום לארגונים רבים, הן בעומק והן ברוחב הבדיקה. בשל כך משך הבדיקה ארוך יותר וממצאי הבדיקה בדרך כלל יעלו נקודות אשר לא יימצאו התייחסות בבחינת אפליקציה רגילה. לקראת סוף שלב הפיתוח עם כניסה לתהליך ה ? QA הרגיל, ממליצה חברת אבנת על שילוב בחינות QA אבטחתיות כחלק אינטגראלי מהבדיקות ה ? QA שאמורה המערכת לעבור טרם עלייתה לאויר.
קובי לכנר, ראש תחום אבטחת אפליקציות באבנת "היתרון העצום שבשילוב ביצוע בחינות אבטחה בשלב זה, מאפשר לארגונים חסכון עצום הנובע מעצם העובדה כי על פי רוב חוזרת האפליקציה לביצוע תיקונים שונים שאינם קשורים לאבטחת מידע. שילוב בדיקות אבטחה בשלב זה מאפשר יציאה עם מערכת מוגנת שעברה בחינה מתאימה ותיקון התקלות בשלב מקדמי". בנוסף מציין לכנר כי בדיקה זו אינה מחליפה את בדיקת ה – Penetration testing שכן בחינות אלה שונות במהותן. לאחרונה ביצעה אבנת מספר פרוייקטים מסוג זה אצל לקוחות פיננסיים כאשר התוצרים סיפקו תמונה מזווית שונה מזו המתקבלת לאחר בחינות אפליקציה סטנדרטיות. בדיקות אלה נערכו על בסיס תסריטים שונים, חלקם נלקחו ממסמכי האפיון וחלקם נבנו על בסיסי הידע והנסיון של אבנת. תוצרי הבחינה והמלצות התיקון שולבו מייד בתהליך התיקון הכללי של המערכות טרם עליתן לאויר.

המאמר נכתב על ידי ניר ולטמן וקובי לכנר
 

דילוג לתוכן