Apakah pengujian keselamatan?

Question

Accepted Answer

**Pengujian keselamatan** menilai perisian untuk **kerentanan dan kelemahan keselamatan** — mengesahkan ia melindungi data dan menentang serangan. Ia termasuk pelbagai teknik (SAST, DAST, penetration testing, dependency scanning) dan adalah penting kerana kecacatan keselamatan boleh membawa akibat yang teruk.

## Apa yang disemak oleh pengujian keselamatan

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Jenis/teknik pengujian keselamatan

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Mengintegrasikan keselamatan (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Mengapa ia penting

Memahami pengujian keselamatan adalah pengetahuan peringkat senior yang berharga kerana **kerentanan keselamatan boleh membawa akibat yang teruk** (pelanggaran, kebocoran data, kerosakan kewangan dan reputasi), jadi mengujinya adalah penting, menjadikan ini pengetahuan yang penting.

Pengujian keselamatan menilai perisian untuk **kerentanan** (injection, XSS, pengesahan/kebenaran yang rosak, pendedahan data, dependency terdedah — jenis kecacatan OWASP Top 10) dan mengesahkan pertahanannya — memastikan perisian menentang serangan dan melindungi data serta pengguna, satu kualiti kritikal memandangkan betapa merosakkannya kegagalan keselamatan.

Memahami **jenis dan teknik** adalah utama: **SAST** (analisis statik kod sumber untuk kerentanan, boleh dijalankan dalam CI), **DAST** (pengujian dinamik aplikasi yang sedang berjalan dengan menyerangnya), **dependency scanning/SCA** (mencari kerentanan yang diketahui dalam library — semakin penting memandangkan risiko rantaian bekalan), **penetration testing** (ethical hacker secara aktif cuba menceroboh untuk mencari kecacatan boleh dieksploit sebenar), dan secret/configuration scanning — setiap satu menangani aspek keselamatan yang berbeza.

Memahami **mengintegrasikan keselamatan (shift left)** — menguji kerentanan awal dalam pembangunan dan CI (bukan hanya pada penghujung), mengautomasikan SAST dan dependency scanning dalam CI/CD, melakukan pen testing tetap untuk aplikasi kritikal, dan rasionalnya (mencari kerentanan sebelum penyerang melakukannya, kerana pelanggaran adalah teruk) — mencerminkan pendekatan moden membina pengujian keselamatan ke dalam proses pembangunan.

Keselamatan ialah dimensi kualiti yang penting dan sering kurang ditekankan, dan memahami cara menguji kerentanan semakin penting apabila ancaman keselamatan berkembang.

Memandangkan kerentanan keselamatan membawa akibat yang teruk dan pengujian keselamatan (SAST, DAST, dependency scanning, pen testing, diintegrasikan awal melalui shift-left) ialah cara kerentanan dicari sebelum penyerang mengeksploitnya, dan memandangkan memahami teknik dan pendekatannya adalah penting untuk membina perisian yang selamat, memahami pengujian keselamatan adalah pengetahuan peringkat senior yang berharga — penting untuk menangani dimensi keselamatan kualiti yang kritikal, mencari kerentanan sebelum ia dieksploit, dan mencerminkan kesedaran keselamatan yang dijangka untuk peranan senior dalam persekitaran ancaman keselamatan yang ketara dan semakin berkembang.