Hvad er sikkerhedstestning?

Question

Accepted Answer

**Sikkerhedstestning** evaluerer software for **sårbarheder og sikkerhedssvagheder** — verificerer, at den beskytter data og modstår angreb. Den omfatter forskellige teknikker (SAST, DAST, penetrationstestning, afhængighedsskanning) og er essentiel, da sikkerhedsfejl kan have alvorlige konsekvenser.

## Hvad sikkerhedstestning kontrollerer

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Typer/teknikker af sikkerhedstestning

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Integration af sikkerhed (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Hvorfor det betyder noget

At forstå sikkerhedstestning er værdifuld viden på seniorniveau, fordi **sikkerhedssårbarheder kan have alvorlige konsekvenser** (brud, datalækager, økonomisk og omdømmeskade), så testning for dem er essentiel, hvilket gør denne viden vigtig.

Sikkerhedstestning evaluerer software for **sårbarheder** (injection, XSS, brudt autentificering/autorisering, dataeksponering, sårbare afhængigheder — OWASP Top 10-typer af fejl) og verificerer dens forsvar — sikrer, at software'en modstår angreb og beskytter data og brugere, hvilket er kritisk kvalitet givet, hvor skadelig sikkerhedsfejl er.

At forstå **typer og teknikker** er nøglen: **SAST** (statisk analyse af kildekode for sårbarheder, kan køres i CI), **DAST** (dynamisk testning af den kørende app ved at angribe den), **afhængighedsskanning/SCA** (finder kendte sårbarheder i biblioteker — stadig vigtigere givet supply-chain-risici), **penetrationstestning** (etiske hackere forsøger aktivt at bryde ind for at finde virkelige udnyttelige fejl) og hemmeligheds-/konfigurationsskanning — hver adresserer forskellige aspekter af sikkerhed.

At forstå **integration af sikkerhed (shift left)** — testning for sårbarheder tidligt i udvikling og CI (ikke kun til sidst), automatisering af SAST og afhængighedsskanning i CI/CD, regelmæssig penetrationstestning for kritiske apps, og begrundelsen (finde sårbarheder før angribere gør det, da brud er alvorlige) — afspejler den moderne tilgang til at bygge sikkerhedstestning ind i udviklingen.

Sikkerhed er en essentiel, ofte underestimeret kvalitetsdimension, og at forstå, hvordan man tester for sårbarheder, bliver stadig vigtigere, da sikkerhedstrusler vokser.

Da sikkerhedssårbarheder har alvorlige konsekvenser, og sikkerhedstestning (SAST, DAST, afhængighedsskanning, penetrationstestning, integreret tidligt via shift-left) er, hvordan sårbarheder findes før angribere udnytter dem, og da forståelse af teknikker og tilgang er vigtig for at bygge sikker software, er forståelse af sikkerhedstestning værdifuld viden på seniorniveau — vigtig for at håndtere sikkerhedsdimensionen af kvalitet, finde sårbarheder før de bliver udnyttet, og afspejle sikkerhedsbevidsthed, der forventes i seniorrollen i et miljø med betydeligt og voksende sikkerhedstrusler.