Kas yra saugumo testavimas?

Question

Accepted Answer

**Saugumo testavimas** vertina programinę įrangą ieškodamas **pažeidžiamumų ir saugumo silpnybių** — patvirtina, kad ji apsaugo duomenis ir atsispiria atakai. Jis apima įvairias technologijas (SAST, DAST, penetracinį testavimą, priklausomybių skenavimą) ir yra būtinas, nes saugumo trūkumai gali turėti rimtas pasekmes.

## Ką tikrina saugumo testavimas

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Saugumo testavimo tipai/technologijos

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Saugumo integravimas (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Kodėl tai svarbu

Supratimas apie saugumo testavimą yra vertingas aukšto lygio žinių šaltinis, nes **saugumo pažeidžiamumai gali turėti rimtas pasekmes** (pažeidimai, duomenų nutekijimai, finansiniai ir reputacijos nuostoliai), todėl jų testavimas yra būtinas, todėl tai yra svarbi žinia.

Saugumo testavimas vertina programinę įrangą ieškodamas **pažeidžiamumų** (injekcija, XSS, sulaužyta autentifikacija/autorizacija, duomenų atsivertimas, pažeidžiamos priklausomybės — OWASP Top 10 tipo trūkumai) ir patvirtina jos apsaugas — užtikrina, kad programinė įranga atsispiria atakai ir apsaugo duomenis bei naudotojus, kritinis kokybės aspektas, atsižvelgiant į tai, kaip žalingi yra saugumo nepavyko.

Supratimas apie **tipus ir technologijas** yra svarbūs: **SAST** (statinis šaltinio kodo analizavimas ieškant pažeidžiamumų, galimas CI), **DAST** (dinaminis veikiančios programos testavimas ją atakuojant), **priklausomybių skenavimas/SCA** (žinomų vulnerabilumų paieška bibliotekose — vis svarbesnis atsižvelgiant į tiekimo grandinės riziką), **penetracinis testavimas** (etiniai hakeriaus aktyviai bandantys prasiveržti rasti realiai eksploatuotinus trūkumus) ir slaptos/konfigūracijos skenavimas — kiekvienas sprendžia skirtingus saugumo aspektus.

Supratimas apie **saugumo integravimą (shift left)** — pažeidžiamumų testavimas ankstyvame kūrimo stadijoje ir CI (ne tik pabaigoje), SAST ir priklausomybių skenavimo automatizavimas CI/CD (tęsiant reguliarų penetracinį testą kritinėms programoms ir logika (pažeidžiamumų paieška iki to, kai jie atakuos, kadangi pažeidimai yra svarūs) — atspindi šiuolaikinį požiūrį į saugumo testavimo integravimą į kūrimo procesą.

Saugumas yra esminis, dažnai nepakankamas kokybės matmuo, ir supratimas, kaip testavinti pažeidžiamumus, yra vis svarbesnis, kai saugumo grėsmės auga.

Dėl to, kad saugumo pažeidžiamumai turi rimtas pasekmes ir saugumo testavimas (SAST, DAST, priklausomybių skenavimas, penetracinis testavimas, integruotas anksti naudojant shift-left) yra tai, kaip pažeidžiamumai aptinkami iki to, kai juos išnaudoja atakuotojai, ir nes supratimas apie technologijas ir požiūrį yra svarbus saugioms programoms kurti, saugumo testavimo supratimas yra vertingas aukšto lygio žinios — svarbi saugumo kokybės matmens sprendimui, pažeidžiamumų paieškai iki jų eksploatavimo ir atsispindint saugumo supratimui, kuris tikimasi aukšto lygio vaidmenims aplinkoje su reikšmingomis ir augančiomis saugumo grėsmėmis.