Ce este testarea de securitate?

Question

Accepted Answer

**Testarea de securitate** evaluează software-ul pentru **vulnerabilități și puncte slabe de securitate** — verificând că acesta protejează datele și rezistă atacurilor. Include diverse tehnici (SAST, DAST, testare de penetrare, scanare de dependințe) și este esențială deoarece defectele de securitate pot avea consecințe grave.

## Ce verifică testarea de securitate

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Tipuri/tehnici de testare de securitate

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Integrarea securității (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## De ce este importantă

Înțelegerea testării de securitate este o cunoaștere valoroasă la nivel senior deoarece **vulnerabilități de securitate pot avea consecințe grave** (breach-uri, scurgeri de date, daune financiare și de reputație), deci testarea pentru ele este esențială, ceea ce face această cunoaștere importantă.

Testarea de securitate evaluează software-ul pentru **vulnerabilități** (injecție, XSS, autentificare/autorizare spartă, expunere de date, dependințe vulnerabile — feluri de defecte din OWASP Top 10) și verifică apărările acestuia — asigurând că software-ul rezistă atacurilor și protejează datele și utilizatorii, o calitate critică având în vedere cât de dăunătoare sunt eșecurile de securitate.

Înțelegerea **tipurilor și tehnicilor** este cheie: **SAST** (analiză statică a codului sursă pentru vulnerabilități, executabilă în CI), **DAST** (testare dinamică a aplicației în funcțiune prin atacarea acesteia), **scanare de dependințe/SCA** (găsirea vulnerabilităților cunoscute din biblioteci — din ce în ce mai importantă având în vedere riscurile de lanț de aprovizionare), **testare de penetrare** (hackeri etici încearcă activ să spargă sistemul pentru a găsi defecte real exploatabile), și scanare de secrete/configurare — fiecare abordând aspecte diferite ale securității.

Înțelegerea **integrării securității (shift left)** — testarea pentru vulnerabilități devreme în dezvoltare și CI (nu doar la final), automatizarea SAST și scanării de dependințe în CI/CD, efectuarea testării de penetrare regulate pentru aplicațiile critice, și raționamentul (găsirea vulnerabilităților înainte ca atacatorii să le facă, deoarece breach-urile sunt grave) — reflectă abordarea modernă de a integra testarea de securitate în procesul de dezvoltare.

Securitatea este o dimensiune de calitate esențială, adesea subapreciată, și înțelegerea modului de testare pentru vulnerabilități devine din ce în ce mai importantă pe măsură ce amenințările de securitate cresc.

Deoarece vulnerabilități de securitate au consecințe grave și testarea de securitate (SAST, DAST, scanare de dependințe, testare de penetrare, integrată devreme prin shift-left) este modul în care vulnerabilități sunt găsite înainte ca atacatorii să le exploateze, și deoarece înțelegerea tehnicilor și abordării este importantă pentru construirea software-ului sigur, înțelegerea testării de securitate este o cunoaștere valoroasă la nivel senior — importantă pentru abordarea dimensiunii critice de securitate a calității, găsirea vulnerabilităților înainte să fie exploatate, și reflectând conștiința de securitate așteptată pentru roluri senior într-un mediu de amenințări de securitate semnificative și în creștere.