Hva er sikkerhetstesting?

Question

Accepted Answer

**Sikkerhetstesting** evaluerer programvare for **sårbarheter og sikkerhetssvakheter** — verifiserer at den beskytter data og motstår angrep. Det inkluderer ulike teknikker (SAST, DAST, penetrasjonstesting, avhengighetsskanning) og er essensielt fordi sikkerhetsfeil kan få alvorlige konsekvenser.

## Hva sikkerhetstesting kontrollerer

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Typer/teknikker for sikkerhetstesting

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Integrering av sikkerhet (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Hvorfor det betyr noe

Å forstå sikkerhetstesting er verdifull kunnskap på seniornivå fordi **sikkerhetssårbarheter kan få alvorlige konsekvenser** (brudd, datalekkasjer, finansiell og omdømmeskade), så testing for dem er essensielt, noe som gjør denne kunnskapen viktig.

Sikkerhetstesting evaluerer programvare for **sårbarheter** (injeksjon, XSS, brutt autentisering/autorisering, dataeksponering, sårbare avhengigheter — OWASP Top 10-typer feil) og verifiserer dens forsvar — sikrer at programvaren motstår angrep og beskytter data og brukere, noe som er kritisk gitt hvor skadelig sikkerhetsfeil er.

Å forstå **typene og teknikker** er nøkkelen: **SAST** (statisk analyse av kildekode for sårbarheter, kjørbar i CI), **DAST** (dynamisk testing av kjørende app ved å angripe den), **avhengighetsskanning/SCA** (finne kjente sårbarheter i biblioteker — stadig viktigere gitt forsyningskjedrisikoen), **penetrasjonstesting** (etiske hackere som aktivt forsøker å bryte seg inn for å finne virkelig exploiterbare feil), og hemmelighets-/konfigurasjonskanning — hver adresserer ulike aspekter av sikkerhet.

Å forstå **integrering av sikkerhet (shift left)** — testing for sårbarheter tidlig i utvikling og CI (ikke bare på slutten), automatisering av SAST og avhengighetsskanning i CI/CD, regelmessig penetrasjonstesting for kritiske apper, og begrunnelsen (finne sårbarheter før angripere gjør det, siden brudd er alvorlig) — reflekterer den moderne tilnærmingen å bygge sikkerhetstesting inn i utviklingsprosessen.

Sikkerhet er en essensielt, ofte undervurdert kvalitetsdimensjon, og å forstå hvordan man tester for sårbarheter blir stadig viktigere ettersom sikkerhetstrusler vokser.

Ettersom sikkerhetssårbarheter har alvorlige konsekvenser og sikkerhetstesting (SAST, DAST, avhengighetsskanning, penetrasjonstesting, integrert tidlig via shift-left) er hvordan sårbarheter blir funnet før angripere utnytter dem, og ettersom å forstå teknikker og tilnærming er viktig for å bygge sikker programvare, er forståelse av sikkerhetstesting verdifull kunnskap på seniornivå — viktig for å adressere den kritiske sikkerhetsdimensjonen av kvalitet, finne sårbarheter før de blir utnyttet, og reflektere sikkerhetsbevissthet forventet for seniorrollen i et miljø med betydelige og økende sikkerhetstrusler.