Security testing क्या है?

Question

Accepted Answer

**Security testing** software का **vulnerabilities और security weaknesses** के लिए मूल्यांकन करती है — सत्यापित करती है कि यह data की रक्षा करता है और attacks का प्रतिरोध करता है। इसमें विभिन्न तकनीकें शामिल हैं (SAST, DAST, penetration testing, dependency scanning) और यह आवश्यक है क्योंकि security flaws के गंभीर परिणाम हो सकते हैं।

## Security testing क्या जाँचती है

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Security testing के प्रकार/तकनीकें

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Security को integrate करना (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## यह क्यों महत्वपूर्ण है

Security testing को समझना valuable senior-level knowledge है क्योंकि **security vulnerabilities के गंभीर परिणाम हो सकते हैं** (breaches, data leaks, financial और reputational damage), इसलिए इनके लिए testing आवश्यक है, जो इसे महत्वपूर्ण knowledge बनाती है।

Security testing software का **vulnerabilities** (injection, XSS, broken authentication/authorization, data exposure, vulnerable dependencies — OWASP Top 10 प्रकार के flaws) के लिए मूल्यांकन करती है और इसके defenses को सत्यापित करती है — यह सुनिश्चित करती है कि software attacks का प्रतिरोध करे और data व users की रक्षा करे, एक महत्वपूर्ण quality यह देखते हुए कि security failures कितने हानिकारक हैं।

**प्रकारों और तकनीकों** को समझना मुख्य है: **SAST** (vulnerabilities के लिए source code का static analysis, CI में चलने योग्य), **DAST** (running app का dynamic testing उस पर attack करके), **dependency scanning/SCA** (libraries में known vulnerabilities खोजना — supply-chain risks को देखते हुए तेज़ी से महत्वपूर्ण), **penetration testing** (ethical hackers सक्रिय रूप से real exploitable flaws खोजने के लिए break in करने का प्रयास करते हैं), और secret/configuration scanning — प्रत्येक security के विभिन्न पहलुओं को संबोधित करता है।

**security को integrate करना (shift left)** को समझना — development और CI में vulnerabilities के लिए जल्दी testing (केवल अंत में नहीं), CI/CD में SAST और dependency scanning को automate करना, critical apps के लिए regular pen testing करना, और rationale (attackers से पहले vulnerabilities खोजना, क्योंकि breaches गंभीर हैं) — security testing को development process में बनाने के आधुनिक दृष्टिकोण को दर्शाता है।

Security एक आवश्यक, अक्सर कम महत्व दी गई quality dimension है, और vulnerabilities के लिए test करने का तरीका समझना तेज़ी से महत्वपूर्ण होता जा रहा है क्योंकि security threats बढ़ रहे हैं।

चूँकि security vulnerabilities के गंभीर परिणाम होते हैं और security testing (SAST, DAST, dependency scanning, pen testing, shift-left के माध्यम से जल्दी integrated) वह तरीका है जिससे attackers द्वारा exploit करने से पहले vulnerabilities खोजी जाती हैं, और चूँकि तकनीकों और दृष्टिकोण को समझना secure software बनाने के लिए महत्वपूर्ण है, इसलिए security testing को समझना valuable senior-level knowledge है — गुणवत्ता के महत्वपूर्ण security dimension को संबोधित करने के लिए महत्वपूर्ण, vulnerabilities को exploit होने से पहले खोजना, और महत्वपूर्ण व बढ़ते security threats के माहौल में senior roles के लिए अपेक्षित security awareness को दर्शाना।