Co je bezpečnostní testování?

Question

Accepted Answer

**Bezpečnostní testování** evaluuje software na **zranitelnosti a bezpečnostní slabiny** — ověřuje, že chrání data a odolává útokům. Zahrnuje různé techniky (SAST, DAST, penetrační testování, skenování závislostí) a je nezbytné, protože bezpečnostní chyby mohou mít vážné důsledky.

## Co bezpečnostní testování kontroluje

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Typy/techniky bezpečnostního testování

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Integrace bezpečnosti (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Proč na tom záleží

Rozvíjení znalostí o bezpečnostním testování je cenné vzdělání na úrovni seniorů, protože **bezpečnostní zranitelnosti mohou mít vážné důsledky** (porušení dat, úniky informací, finanční a reputační škody), takže jejich testování je nezbytné, což dělá tuto znalost důležitou.

Bezpečnostní testování evaluuje software na **zranitelnosti** (injection, XSS, zlomená autentifikace/autorizace, vystavení dat, zranitelné závislosti — typy chyb podle OWASP Top 10) a ověřuje jeho obranné mechanismy — zajišťuje, že software odolává útokům a chrání data a uživatele, což je kritická kvalita vzhledem k tomu, jak ničivé jsou bezpečnostní selhání.

Rozvíjení **typů a technik** je klíčové: **SAST** (statická analýza zdrojového kódu na zranitelnosti, spustitelná v CI), **DAST** (dynamické testování běžící aplikace jejím útokem), **skenování závislostí/SCA** (hledání známých zranitelností v knihovnách — stále důležitější vzhledem k rizikům v dodavatelském řetězci), **penetrační testování** (etičtí hackeři aktivně se pokoušejí proniknout a najít skutečně zneužitelné chyby), a skenování tajemství/konfigurací — každé řeší různé aspekty bezpečnosti.

Rozvíjení **integrace bezpečnosti (shift left)** — testování zranitelností na začátku vývoje a v CI (ne jen na konci), automatizace SAST a skenování závislostí v CI/CD, provádění běžného penetračního testování pro kritické aplikace, a zdůvodnění (nalezení zranitelností předtím, než je najdou útočníci, protože porušení dat jsou vážná) — odráží moderní přístup začleňování bezpečnostního testování do vývojového procesu.

Bezpečnost je základní, často podceňovaná kvalitativní rozměr, a porozumění testování zranitelností je stále důležitější, jak bezpečnostní hrozby rostou.

Protože bezpečnostní zranitelnosti mají vážné důsledky a bezpečnostní testování (SAST, DAST, skenování závislostí, penetrační testování, integrované brzy pomocí shift-left) je to, jak jsou zranitelnosti nalezeny předtím, než je útočníci zneužijí, a protože porozumění technikám a přístupu je důležité pro budování bezpečného softwaru, je porozumění bezpečnostnímu testování cenné senior-level vědomí — důležité pro řešení kritické bezpečnostní rozměru kvality, nalezení zranitelností předtím, než budou zneužity, a odrážení bezpečnostního povědomí očekávaného pro senior role v prostředí významných a rostoucích bezpečnostních hrozeb.