Kaj je testiranje varnosti?

Question

Accepted Answer

**Testiranje varnosti** oceni programsko opremo za **ranljivosti in varnostne pomanjkljivosti** — preveri, ali ščiti podatke in se upira napadom. Vključuje različne tehnike (SAST, DAST, testiranje penetracije, skeniranje odvisnosti) in je bistveno, saj lahko varnostne napake imajo resne posledice.

## Kaj testiranje varnosti preverja

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Vrste/tehnike testiranja varnosti

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Vključevanje varnosti (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Zakaj je to pomembno

Razumevanje testiranja varnosti je dragoceno znanje za višje ravni, ker **varnostne ranljivosti lahko imajo resne posledice** (kršitve, puščanje podatkov, finančna in reputacijska škoda), zato je testiranje zanje bistveno, kar to znanje naredi pomembno.

Testiranje varnosti oceni programsko opremo za **ranljivosti** (injiciranje, XSS, pokvarjena avtentifikacija/avtorizacija, izpostavljenost podatkov, ranljive odvisnosti — vrste napak iz OWASP Top 10) in preveri njene obrambe — zagotavlja, da se programska oprema upira napadom in ščiti podatke ter uporabnike, kar je kritična kvaliteta glede na to, kako škodljivi so varnostni neuspehi.

Razumevanje **vrst in tehnik** je ključno: **SAST** (statična analiza izvorne kode za ranljivosti, izvedljiva v CI), **DAST** (dinamično testiranje tekajoče aplikacije z napadom nanjo), **skeniranje odvisnosti/SCA** (iskanje znanih ranljivosti v knjižnicah — vedno bolj pomembno glede na tveganja dobavne verige), **testiranje penetracije** (etični hekerji aktivno poskušajo vdreti, da najdejo resnično izrabljive napake) in skeniranje skrivnosti/konfiguracije — vsaka naslanja različne vidike varnosti.

Razumevanje **vključevanja varnosti (shift left)** — testiranje ranljivosti zgodaj v razvoju in CI (ne samo na koncu), avtomatizacija SAST in skeniranja odvisnosti v CI/CD, redna testiranja penetracije za kritične aplikacije, in utemeljitev (iskanje ranljivosti pred napadalci, ker so kršitve resne) — odraža sodoben pristop vključevanja testiranja varnosti v razvojni proces.

Varnost je bistvena, pogosto premalo poudarjena dimenzija kvalitete, in razumevanje kako testirati ranljivosti je vedno bolj pomembno, ko se varnostne grožnje povečujejo.

Ker imajo varnostne ranljivosti resne posledice in testiranje varnosti (SAST, DAST, skeniranje odvisnosti, testiranje penetracije, integrirano zgodaj prek shift-left) je način, kako se ranljivosti odkrijejo preden jih napadalci izkoristijo, in ker je razumevanje tehnik in pristopa pomembno za gradnjo varne programske opreme, je razumevanje testiranja varnosti dragoceno znanje za višje ravni — pomembno za obravnavo kritične varnostne dimenzije kvalitete, iskanje ranljivosti preden se jih izkoristi, in odraz varnostne osveščenosti, ki se pričakuje pri višjih vlogah v okolju občutnih in rastočih varnostnih groženj.