ما هو اختبار الأمان؟

Question

Accepted Answer

**اختبار الأمان** يقيّم البرمجيات للكشف عن **الثغرات والضعف الأمني** — للتحقق من حماية البيانات والمقاومة للهجمات. يتضمن تقنيات متعددة (SAST, DAST, اختبار الاختراق، فحص التبعيات) وهو ضروري لأن الثغرات الأمنية يمكن أن تكون لها عواقب وخيمة.

## ما الذي يفحصه اختبار الأمان

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## أنواع واختبارات الأمان

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## دمج الأمان (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## لماذا هذا مهم

فهم اختبار الأمان هو معرفة قيّمة على مستوى أعلى من الاختصاص لأن **الثغرات الأمنية يمكن أن تكون لها عواقب وخيمة** (انتهاكات، تسريب البيانات، الضرر المالي والسمعة)، لذا فإن اختبارها ضروري جداً، مما يجعل هذه معرفة مهمة.

اختبار الأمان يقيّم البرمجيات للكشف عن **الثغرات** (حقن الأوامر، XSS، المصادقة/التفويض المكسورة، تعريض البيانات، التبعيات الضعيفة — نوع الثغرات من قائمة OWASP الأعلى 10) والتحقق من دفاعاتها — للتأكد من أن البرمجيات تقاوم الهجمات وتحمي البيانات والمستخدمين، وهي جودة حرجة نظراً لمدى ضرر الفشل الأمني.

فهم **الأنواع والتقنيات** أساسي: **SAST** (التحليل الثابت للكود المصدري للثغرات، يمكن تشغيله في CI)، **DAST** (الاختبار الديناميكي للتطبيق قيد التشغيل عن طريق مهاجمته)، **فحص التبعيات/SCA** (العثور على ثغرات معروفة في المكتبات — مهم بشكل متزايد نظراً لمخاطر سلسلة الإمداد)، **اختبار الاختراق** (المتسللون الأخلاقيون يحاولون بنشاط اختراق النظام للعثور على ثغرات حقيقية قابلة للاستغلال)، وفحص الأسرار والإعدادات — كل منها يعالج جوانب مختلفة من الأمان.

فهم **دمج الأمان (shift left)** — اختبار الثغرات مبكراً في عملية التطوير و CI (وليس فقط في النهاية)، أتمتة SAST وفحص التبعيات في CI/CD، إجراء اختبارات الاختراق العادية للتطبيقات الحرجة، والمنطق وراء ذلك (العثور على الثغرات قبل أن يجدها المهاجمون، لأن الانتهاكات وخيمة) — يعكس النهج الحديث في دمج اختبار الأمان في عملية التطوير.

الأمان هو جانب جودة ضروري، غالباً ما يكون مغفولاً عنه، وفهم كيفية الاختبار للثغرات أصبح مهماً بشكل متزايد مع نمو التهديدات الأمنية.

نظراً لأن الثغرات الأمنية لها عواقب وخيمة واختبار الأمان (SAST, DAST, فحص التبعيات، اختبار الاختراق، الدمج المبكر عبر shift-left) هي كيفية العثور على الثغرات قبل أن يستغلها المهاجمون، ولأن فهم التقنيات والنهج مهم لبناء برمجيات آمنة، فإن فهم اختبار الأمان هو معرفة قيّمة على المستوى الأعلى من الاختصاص — مهم لمعالجة جانب الأمان الحرج من الجودة، والعثور على الثغرات قبل استغلالها، وعكس الوعي الأمني المتوقع للأدوار الأعلى في بيئة تتعرض لتهديدات أمنية كبيرة ومتزايدة.