به گزارش ایران خبر، بیشتر فرآیند آزمون به صورت خودکار انجام میشود.
آزمون امنیتی هم یکی از جنبههای آزمون نرمافزار است که ابزارهای متنوعی برای آن وجود دارد.
با گسترش دامنه آسیبپذیریهای امنیتی در حوزه وب در سالهای اخیر، توجه توسعهدهندگان نرمافزارهای تحت وب و همچنین فعالان حوزه امنیت به ساخت و استفاده از ابزارهای خودکار بیشتر شده است.
پرداختن به بحث آزمون خودکار و آزمونهای امنیتی، هر دو از روندهای اصلی در سال 2016 در حوزه آزمون معرفی شدهاند زیرا با توجه به حجم فعالیتهای انجام شده در زمان توسعه وبگاه و همچنین پیشرفت آسیبپذیریها و توانایی مهاجمان، نیاز به آزمونهای امنیتی خودکار بیش از پیش احساس میشود.
منظور از آزمون خودکار، آزمونی است که در آن یک بخش مشخص یا کل آزمون با استفاده از ابزارهای خودکار انجام شود؛ وجود ابزارهای خاص منظوره یا با کاربرد عام، تحت نسخههای رایگان و تجاری و حتی وجود سیستمعاملهایی که مجموعهای از ابزارهای سنجش امنیت را یکپارچه کردهاند، نشاندهنده رواج و اهمیت استفاده از این نرمافزارها به شمار میرود.
بعضی از این نرمافزارها به حدی در حوزه سنجش امنیت کاربردی هستند که دورههای آموزشی مختلفی برای آنها دایر شده است.
مانند حوزههای دیگر، ابزارهای موجود در این حوزه نیز به دو دسته تجاری و متنباز قابل تقسیم هستند؛ در مورد نرمافزارهای تجاری، عموما سطح خودکار بودن انجام بررسیهای امنیتی، بیشتر از نرمافزارهای متنباز است و اغلب اقدام به ایجاد چارچوبهای یکپارچه برای سنجش انواع مختلف آسیبپذیریها شده است.
فعالیت شرکتها و مؤسسات صاحبنام در این زمینه مانند HP و IBM نشاندهنده بلوغ ابزارهای موجود در این حوزه است؛ ابزارهای معروف تجاری، ویژگیهای مشترک فراوانی داشته و تفاوت آنها اغلب در کمیت خطاهای یافته شده، سطح حساسیت آنها در زمینه آسیبپذیریهای مختلف، نحوه گزارشدهی آنها و راهکار ارائه شده توسط آنها است.
با تمام رشدی که در ابزارهای تجاری دیده میشود، استفاده از آنها به عنوان ابزارهای مورد نیاز برای سنجش امنیت شبکههای اجتماعی داخلی مناسب به نظر نمیرسد زیرا تنها در زمانی میتوان از صحت نتایج ارائه شده اطمینان پیدا کرد که الگوریتم کار نرمافزار و تواناییهای آن به صورت دقیق سنجیده شده و در صورت نیاز برای دسترسی به حداکثر سطح پوشش نیازمندیهای خاص بستر ارزیابی، تغییر داده شوند.
به همین دلیل بررسی و انتخاب نرمافزارهای متنباز رجحان دارد.
در خدمات مشاوره برای توسعه امن شبکههای اجتماعی برخط داخلی و تدوین الزامات و ضوابط امنیت پایه در خدمات این حوزه یکی از اهداف ایجاد بستری همهجانیه و تا آنجا که ممکن است خودکار برای ارزیابی امنیت و حریم خصوصی شبکههای اجتماعی برخط است.
به طور کلی روند طی شده برای نیل به این هدف به شرح زیر است.
1. شناسایی ابزارهای متنباز ارزیابی امنیتی سامانههای تحت وب و دستهبندی آنها براساس ویژگیهای اصلی
2. ارزیابی و انتخاب بهترین و کاراترین ابزارهای ارزیابی امنیتی: در این مرحله ابزارهای مختلف به روشهای مختلف و استاندارد مورد ارزیابی قرار گرفته و بهترین آنها انتخاب میشوند؛ این ارزیابیها به طور عمده به دو شکل اجرایی و مبتنی بر معیار انجام شدهاند که در ارزیابی اجرایی ابزارها روی مجموعهای از ماشینهای حاوی آسیبپذیریهای مختلف اجرا شده و میزان توفیق ابزارهای مختلف در شناسایی آسیبپذیریها گزارش میشود.
در ارزیابیهای مبتنی بر معیار، ابتدا معیارهایی برای ارزیابی ابزارها استخراج شده و با استفاده از روشهای مختلف به ابزارها امتیاز داده شده است.
3. ایجاد بستر نهایی ارزیابی با یکپارچهسازی و سفارشیسازی ابزارهای انتخاب شده: برای افزایش دقت، کارایی و قابلیت استفاده از نرمافزارهای انتخاب شده و همچنین افزایش دامنه پوشش آسیبپذیریهای امنیتی شبکههای اجتماعی، بایستی سبد نرمافزارهای انتخاب شده سفارشیسازی شود.
