Što je sigurnosno testiranje?

Question

Accepted Answer

**Sigurnosno testiranje** evaluira softver na **ranjivosti i sigurnosne slabosti** — potvrđujući da štiti podatke i opire se napadima. Uključuje različite tehnike (SAST, DAST, penetraciono testiranje, skeniranje ovisnosti) i neophodno je jer sigurnosne greške mogu imati teške posljedice.

## Što sigurnosno testiranje provjerava

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Vrste/tehnike sigurnosnog testiranja

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Integriranje sigurnosti (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Zašto je važno

Razumijevanje sigurnosnog testiranja je vrijedna znanja na razini seniora jer **sigurnosne ranjivosti mogu imati teške posljedice** (kršenja sigurnosti, curenja podataka, financijska i reputacijska šteta), tako da je testiranje na njih nužno, čineći ovo važno znanje.

Sigurnosno testiranje evaluira softver na **ranjivosti** (injection, XSS, slomljena autentifikacija/autorizacija, izlaganje podataka, ranjive ovisnosti — OWASP Top 10 vrste greške) i potvrđuje njegove obrane — osiguravajući da se softver opire napadima i štiti podatke i korisnike, kritična kvaliteta s obzirom na to koliko su štetan sigurnosni kvarovi.

Razumijevanje **vrsta i tehnika** je ključno: **SAST** (statička analiza izvornog koda za ranjivosti, pokretljiva u CI), **DAST** (dinamičko testiranje pokrenute aplikacije napadanjem na nju), **skeniranje ovisnosti/SCA** (pronalaženje poznatih ranjivosti u bibliotekama — sve važnije s obzirom na rizike u lancu opskrbe), **penetraciono testiranje** (etični hakeri aktivno pokušavaju proći da pronađu stvarno iskoristive greške), i skeniranje tajni/konfiguracije — svaka adresira različite aspekte sigurnosti.

Razumijevanje **integriranja sigurnosti (shift left)** — testiranje ranjivosti rano u razvoju i CI (ne samo na kraju), automatizacija SAST i skeniranja ovisnosti u CI/CD, redovito penetraciono testiranje za kritične aplikacije, i razloga (pronalaženje ranjivosti prije nego što ih napadači pronađu, pošto su kršenja sigurnosti teška) — odražava moderni pristup ugrađivanju sigurnosnog testiranja u proces razvoja.

Sigurnost je bitna, često neprimijećena dimenzija kvalitete, i razumijevanje kako testirati ranjivosti postaje sve važnije kako sigurnosne prijetnje rastu.

Budući da sigurnosne ranjivosti imaju teške posljedice i sigurnosno testiranje (SAST, DAST, skeniranje ovisnosti, penetraciono testiranje, integrirano rano putem shift-left) je kako se ranjivosti pronalaze prije nego što ih napadači iskoriste, i pošto je razumijevanje tehnika i pristupa važno za izgradnju sigurnog softvera, razumijevanje sigurnosnog testiranja je vrijedna znanja na razini seniora — važna za rješavanje kritične sigurnosne dimenzije kvalitete, pronalaženje ranjivosti prije nego što budu iskorištene, i odražavanje sigurnosne svjesnosti očekivane za senior uloge u okruženju značajnih i rastućih sigurnosnih prijetnji.