优点
没有两个黑客是相同的,但他们都依靠欺骗内部人员授予不需要的访问权限。渗透测试可以准确地发现这些情况并帮助解决它们。它还可以识别由于较小漏洞的积累而存在的高风险漏洞。这些小弱点可能与软件有关,与代码有关,或更常见的原因是员工意外疏忽造成的。
渗透测试很难自动化,因为人类测试人员更容易检测出攻击者最有可能利用的弱点类型。
缺点
渗透测试是测试人员试图闯入一个应用程序。虽然好处显而易见,但是进行测试的测试人员本质上是黑客。这造成了一个明显的信任问题,管理起来可能非常复杂。
另一个潜在的缺点是测试条件的不现实性,内部人员不会感到惊讶。现实生活中的应用程序违规始终是无法预料的,这很难复制。一种可能的解决方案是进行仅由选定内部人员知道的未宣布的测试。
结论
没有一种类型可以满足所有测试要求。顶级组织在其开发周期的不同阶段融合了不同的测试方法,以实现最佳结果。这是QAOps的基础。
-- End --
文末寄语:生活像是一颗草莓,既是酸又是甜。人生像是一个榴莲,既是臭又是香。酸甜和苦辣,只有自己亲身经历了才能懂得,艰难与困苦,只有熬过去了才能看见新曙光。