Vad är säkerhetstestning?

Question

Accepted Answer

**Säkerhetstestning** utvärderar mjukvara för **säkerhetsluckor och säkerhetssvagheter** — verifierar att den skyddar data och motstår attacker. Det inkluderar olika tekniker (SAST, DAST, penetrationstestning, beroendescanering) och är väsentligt då säkerhetsbristerna kan få allvarliga konsekvenser.

## Vad säkerhetstestning kontrollerar

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Typer/tekniker för säkerhetstestning

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Integrera säkerhet (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Varför det är viktigt

Att förstå säkerhetstestning är värdefull kunskap på seniornivå eftersom **säkerhetsluckor kan få allvarliga konsekvenser** (brott, dataintrång, finansiell och reputationskada), så testning för dem är väsentlig, vilket gör denna kunskap viktig.

Säkerhetstestning utvärderar mjukvara för **säkerhetsluckor** (injektioner, XSS, bruten autentisering/auktorisering, dataintrång, sårbara beroenden — sådan slags brister som OWASP Top 10 täcker) och verifierar dess försvar — säkerställer att mjukvaran motstår attacker och skyddar data och användare, en kritisk kvalitet med tanke på hur skadliga säkerhetsmisslyckanden är.

Att förstå **typerna och teknikerna** är avgörande: **SAST** (statisk analys av källkod för säkerhetsluckor, körbar i CI), **DAST** (dynamisk testning av den körande appen genom att attackera den), **beroendescanering/SCA** (hitta kända säkerhetsluckor i bibliotek — allt viktigare med tanke på leverantörskedjrisker), **penetrationstestning** (etiska hackare försöker aktivt bryta sig in för att hitta verkligt exploaterbara brister), och hemlig/konfigurationsscanering — var och en adresserar olika aspekter av säkerhet.

Att förstå **integrera säkerhet (shift left)** — testning för säkerhetsluckor tidigt i utveckling och CI (inte bara i slutet), automatisera SAST och beroendescanering i CI/CD, genomför regelbundna penetrationstester för kritiska appar, och motiveringen (hitta säkerhetsluckor före angripare gör det, då intrång är allvarligt) — återspeglar det moderna tillvägagångssättet att integrera säkerhetstestning i utvecklingsprocessen.

Säkerhet är en väsentlig, ofta underbetonad kvalitetsdimension, och att förstå hur man testar för säkerhetsluckor blir allt viktigare när säkerhetshot växer.

Eftersom säkerhetsluckor har allvarliga konsekvenser och säkerhetstestning (SAST, DAST, beroendescanering, penetrationstestning, integrerad tidigt via shift-left) är hur säkerhetsluckor hittas före angripare utnyttjar dem, och eftersom att förstå teknikerna och tillvägagångssättet är viktigt för att bygga säker mjukvara, är förståelse av säkerhetstestning värdefull kunskap på seniornivå — viktig för att adressera den kritiska säkerhetsdimensionen av kvalitet, hitta säkerhetsluckor innan de utnyttjas, och återspegla den säkerhetsberedskap som förväntas för seniorrollen i en miljö med betydande och växande säkerhetshot.