کد مطلب: 103704
 
تاریخ انتشار : پنجشنبه ۱۴ دی ۱۳۹۶ ساعت ۱۵:۳۰
اهمیت آزمون در توسعه فعالیتهای نرم‌افزاری مخصوصا شبکه‌های اجتماعی بسیار مهم است اما کدام ابزار برای سنجش امنیت و ارزیابی مناسبترند؟
 

به گزارش ایران خبر، بیشتر فرآیند آزمون به صورت خودکار انجام می‌شود.

آزمون امنیتی هم یکی از جنبه‌های آزمون نرم‌افزار است که ابزارهای متنوعی برای آن وجود دارد.

با گسترش دامنه آسیب‌پذیریهای امنیتی در حوزه وب در سالهای اخیر، توجه توسعه‌دهندگان نرم‌افزارهای تحت وب و همچنین فعالان حوزه امنیت به ساخت و استفاده از ابزارهای خودکار بیشتر شده است.

پرداختن به بحث آزمون خودکار و آزمونهای امنیتی، هر دو از روندهای اصلی در سال 2016 در حوزه آزمون معرفی شده‌اند زیرا با توجه به حجم فعالیتهای انجام شده در زمان توسعه وبگاه و همچنین پیشرفت آسیب‌پذیریها و توانایی مهاجمان، نیاز به آزمونهای امنیتی خودکار بیش از پیش احساس می‌شود.

منظور از آزمون خودکار، آزمونی است که در آن یک بخش مشخص یا کل آزمون با استفاده از ابزارهای خودکار انجام شود؛ وجود ابزارهای خاص منظوره یا با کاربرد عام، تحت نسخه‌های رایگان و تجاری و حتی وجود سیستم‌عاملهایی که مجموعه‌ای از ابزارهای سنجش امنیت را یکپارچه کرده‌اند، نشان‌دهنده رواج و اهمیت استفاده از این نرم‌افزارها به شمار می‌رود.

بعضی از این نرم‌افزارها به حدی در حوزه سنجش امنیت کاربردی هستند که دوره‌های آموزشی مختلفی برای آنها دایر شده است.

مانند حوزه‌های دیگر، ابزارهای موجود در این حوزه نیز به دو دسته تجاری و متن‌باز قابل تقسیم هستند؛ در مورد نرم‌افزارهای تجاری، عموما سطح خودکار بودن انجام بررسیهای امنیتی، بیشتر از نرم‌افزارهای متن‌باز است و اغلب اقدام به ایجاد چارچوبهای یکپارچه برای سنجش انواع مختلف آسیب‌پذیریها شده است.

فعالیت شرکتها و مؤسسات صاحب‌نام در این زمینه مانند HP و IBM نشاندهنده بلوغ ابزارهای موجود در این حوزه است؛ ابزارهای معروف تجاری، ویژگیهای مشترک فراوانی داشته و تفاوت آنها اغلب در کمیت خطاهای یافته شده، سطح حساسیت آنها در زمینه آسیب‌پذیریهای مختلف، نحوه گزارش‌دهی آنها و راهکار ارائه شده توسط آنها است.

با تمام رشدی که در ابزارهای تجاری دیده می‌شود، استفاده از آنها به عنوان ابزارهای مورد نیاز برای سنجش امنیت شبکه‌های اجتماعی داخلی مناسب به نظر نمی‌رسد زیرا تنها در زمانی می‌توان از صحت نتایج ارائه شده اطمینان پیدا کرد که الگوریتم کار نرم‌افزار و تواناییهای آن به صورت دقیق سنجیده شده و در صورت نیاز برای دسترسی به حداکثر سطح پوشش نیازمندیهای خاص بستر ارزیابی، تغییر داده شوند.

به همین دلیل بررسی و انتخاب نرم‌افزارهای متن‌باز رجحان دارد.

در خدمات مشاوره برای توسعه امن شبکه‌های اجتماعی برخط داخلی و تدوین الزامات و ضوابط امنیت پایه در خدمات این حوزه یکی از اهداف ایجاد بستری همه‌جانیه و تا آنجا که ممکن است خودکار برای ارزیابی امنیت و حریم خصوصی شبکه‌های اجتماعی برخط است.

به طور کلی روند طی شده برای نیل به این هدف به شرح زیر است.

1.    شناسایی ابزارهای متن‌باز ارزیابی امنیتی سامانه‌های تحت وب و دسته‌بندی آنها براساس ویژگیهای اصلی
2.    ارزیابی و انتخاب بهترین و کاراترین ابزارهای ارزیابی امنیتی: در این مرحله ابزارهای مختلف به روشهای مختلف و استاندارد مورد ارزیابی قرار گرفته و بهترین آنها انتخاب می‌شوند؛ این ارزیابیها به طور عمده به دو شکل اجرایی و مبتنی بر معیار انجام شده‌اند که در ارزیابی اجرایی ابزارها روی مجموعه‌ای از ماشینهای حاوی آسیب‌پذیریهای مختلف اجرا شده و میزان توفیق ابزارهای مختلف در شناسایی آسیب‌پذیریها گزارش می‌شود.
در ارزیابیهای مبتنی بر معیار، ابتدا معیارهایی برای ارزیابی ابزارها استخراج شده و با استفاده از روشهای مختلف به ابزارها امتیاز داده شده است.
3.    ایجاد بستر نهایی ارزیابی با یکپارچه‌سازی و سفارشی‌سازی ابزارهای انتخاب شده: برای افزایش دقت، کارایی و قابلیت استفاده از نرم‌افزارهای انتخاب شده و همچنین افزایش دامنه پوشش آسیب‌پذیریهای امنیتی شبکه‌های اجتماعی، بایستی سبد نرم‌افزارهای انتخاب شده سفارشی‌سازی شود.

منبع : تسنیم