私はSpring MVCアプリケーションを持っています。私はテストプロセスを自動化していません。私はまた、アプリケーションを確保していない。
私の質問はまず何をすべきですか?アプリケーション全体をテストする前に、アプリケーションのセキュリティを設定する必要がありますか?
または
システムまたはアプリケーションを保護(強化)すると、予期せず機能が停止する可能性があります。したがって、あなたは常に固まった後にテストする必要があります。
一方、硬化後に何かがうまくいかない場合は、硬化のためであり、他の何かのためではないことをどのように確かに知っていますか?
つまり、両方を行う必要があります。アプリケーションを保護する前にテストし、アプリケーションを保護した後に再度テストしてください。時間とリソースが限られている場合は、前と後のテストの程度に関するバランスを見つけようとする必要があります。
EDIT:本番データを使用してテストが行われ、ユーザー認証と承認、およびこの本番データへのアクセスを制御することが重要な場合は、まずアプリケーションのセキュリティと内部セキュリティを個別にテストしてから、アプリケーション。確かに、これは、おそらく、限られた量の信頼できるユーザーが、アプリケーションのセキュリティが行われる前に機能テストを行うことができることを意味します。
セキュリティテストでは、すべてが検出されることはありません。
したがって、アプリケーションをテストする前に、可能な限りアプリケーションを保護する必要があります。
"ロックダウンリスト"を生成する方法としてセキュリティテストの結果を使用しないでください。最初からセキュリティを構築し、すでに知っていることからできるだけ保護します。
準備が整ったら、セキュリティスキャンを実行してギャップを見つけます。
そして、私はいつもあなたが決して考えなかったことを見つけ出すために、最後に外部の会社を雇うことを勧めます。
セキュリティで保護されていないアプリケーションをテストする理由は何ですか?私はそれがその状態で使われることはないと思います。 – Bookeater