Was ist Security Testing?

Question

Accepted Answer

**Security Testing** bewertet Software auf **Sicherheitslücken und Schwachstellen** — überprüft, ob sie Daten schützt und Angriffen widersteht. Es umfasst verschiedene Techniken (SAST, DAST, Penetrationstesting, Dependency Scanning) und ist unverzichtbar, da Sicherheitsmängel schwerwiegende Folgen haben können.

## Was Security Testing überprüft

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Arten/Techniken des Security Testing

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Sicherheit integrieren (Shift Left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Warum es wichtig ist

Verständnis für Security Testing ist wertvolles Wissen auf Senior-Level, da **Sicherheitslücken schwerwiegende Folgen haben können** (Datenpannen, Datenverluste, finanzielle und Reputationsschäden), daher ist das Testen auf solche Lücken unverzichtbar und macht dieses Wissen wichtig.

Security Testing bewertet Software auf **Sicherheitslücken** (Injection, XSS, fehlerhafte Authentifizierung/Autorisierung, Datenverluste, anfällige Abhängigkeiten — die OWASP Top 10-Arten von Fehlern) und überprüft ihre Abwehrmechanismen — um sicherzustellen, dass die Software Angriffen widersteht und Daten und Benutzer schützt, eine kritische Qualität angesichts der schwerwiegenden Auswirkungen von Sicherheitsfehlern.

Verständnis für die **Arten und Techniken** ist essentiell: **SAST** (statische Analyse des Quellcodes auf Sicherheitslücken, in CI ausführbar), **DAST** (dynamisches Testen der laufenden Anwendung durch Angriffe), **Dependency Scanning/SCA** (Erkennung bekannter Sicherheitslücken in Bibliotheken — zunehmend wichtig angesichts von Supply-Chain-Risiken), **Penetrationstesting** (ethische Hacker versuchen aktiv einzubrechen, um echte ausnutzbare Fehler zu finden), und Secret/Configuration Scanning — jede Technik adressiert unterschiedliche Sicherheitsaspekte.

Verständnis für **Sicherheit integrieren (Shift Left)** — Testen auf Sicherheitslücken früh in der Entwicklung und CI (nicht nur am Ende), Automatisierung von SAST und Dependency Scanning in CI/CD, regelmäßiges Pen Testing für kritische Anwendungen, und die Begründung (Sicherheitslücken vor Angreifern finden, da Datenpannen schwerwiegend sind) — spiegelt den modernen Ansatz wider, Security Testing in den Entwicklungsprozess zu integrieren.

Sicherheit ist eine unverzichtbare, oft unterschätzte Qualitätsdimension, und das Verständnis, wie man auf Sicherheitslücken testet, wird zunehmend wichtiger, da Sicherheitsbedrohungen wachsen.

Da Sicherheitslücken schwerwiegende Folgen haben und Security Testing (SAST, DAST, Dependency Scanning, Pen Testing, frühzeitig integriert via Shift-Left) die Methode ist, um Sicherheitslücken zu finden, bevor Angreifer sie ausnutzen, und da das Verständnis der Techniken und des Ansatzes wichtig ist für das Erstellen sicherer Software, ist das Verständnis für Security Testing wertvolles Wissen auf Senior-Level — wichtig für die Behandlung der kritischen Sicherheitsdimension von Qualität, zum Finden von Sicherheitslücken, bevor sie ausgenutzt werden, und zur Widerspiegelung des Sicherheitsbewusstseins, das für Senior-Rollen in einem Umfeld erheblicher und wachsender Sicherheitsbedrohungen erwartet wird.