O que é teste de segurança?

Question

Accepted Answer

**Teste de segurança** avalia software em busca de **vulnerabilidades e fraquezas de segurança** — verificando se protege dados e resiste a ataques. Inclui várias técnicas (SAST, DAST, testes de penetração, verificação de dependências) e é essencial, pois falhas de segurança podem ter consequências graves.

## O que o teste de segurança verifica

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Tipos/técnicas de teste de segurança

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Integrando segurança (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Por que isso importa

Entender teste de segurança é conhecimento valioso de nível sênior porque **vulnerabilidades de segurança podem ter consequências graves** (violações, vazamentos de dados, danos financeiros e reputacionais), então testá-las é essencial, tornando esse conhecimento importante.

O teste de segurança avalia software em busca de **vulnerabilidades** (injeção, XSS, autenticação/autorização quebrada, exposição de dados, dependências vulneráveis — o tipo de falhas da OWASP Top 10) e verifica suas defesas — garantindo que o software resiste a ataques e protege dados e usuários, uma qualidade crítica dado o quão prejudicial é uma falha de segurança.

Entender os **tipos e técnicas** é fundamental: **SAST** (análise estática de código-fonte em busca de vulnerabilidades, executável em CI), **DAST** (teste dinâmico da aplicação em execução atacando-a), **verificação de dependências/SCA** (encontrando vulnerabilidades conhecidas em bibliotecas — cada vez mais importante dado riscos da cadeia de suprimentos), **teste de penetração** (hackers éticos tentando ativamente invadir para encontrar falhas realmente exploráveis), e verificação de segredos/configuração — cada um abordando diferentes aspectos da segurança.

Entender **integração de segurança (shift left)** — testando vulnerabilidades cedo no desenvolvimento e em CI (não apenas no final), automatizando SAST e verificação de dependências em CI/CD, fazendo testes de penetração regulares para aplicações críticas, e a fundamentação (encontrando vulnerabilidades antes que invasores o façam, já que violações são graves) — reflete a abordagem moderna de integrar teste de segurança no processo de desenvolvimento.

Segurança é uma dimensão de qualidade essencial e frequentemente subestimada, e entender como testar vulnerabilidades é cada vez mais importante conforme ameaças de segurança crescem.

Como vulnerabilidades de segurança têm consequências graves e teste de segurança (SAST, DAST, verificação de dependências, teste de penetração, integrado cedo via shift-left) é como vulnerabilidades são encontradas antes que invasores as explorem, e como entender as técnicas e abordagem é importante para construir software seguro, entender teste de segurança é conhecimento valioso de nível sênior — importante para abordar a dimensão crítica de segurança da qualidade, encontrar vulnerabilidades antes que sejam exploradas, e refletindo a consciência de segurança esperada para papéis sênior em um ambiente de ameaças de segurança significativas e crescentes.