PrepBro
← Назад к вопросам

К какому виду тестирования относится Security Testing

2.0 Middle🔥 171 комментариев
#Теория тестирования

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Security Testing: Вид тестирования и его место в классификации

Security Testing (тестирование безопасности) относится к нефункциональным видам тестирования, а точнее, к специализированному подтипу в рамках нефункционального тестирования.

Чтобы это было понятно, рассмотрим общепринятую классификацию видов тестирования ПО, которая разделяет их по цели проверки.

Основная классификация видов тестирования

  1. Функциональное тестирование — проверяет, что система делает. Соответствует ли её поведение требованиям и спецификациям?
    *   **Примеры:** Тестирование модулей, интеграции, пользовательских сценариев (E2E), дымовое тестирование, регрессионное тестирование.
  1. Нефункциональное тестирование — проверяет, как система работает. Оценивает атрибуты качества, не связанные напрямую с конкретной функциональностью.
    *   **Примеры:** **Тестирование производительности** (Load, Stress, Spike), **тестирование удобства использования (Usability)**, **тестирование совместимости**, **тестирование надежности** и, что ключевое для нашего вопроса, **тестирование безопасности (Security Testing)**.

Таким образом, Security Testing — это полноценный, критически важный вид нефункционального тестирования. Его цель — выявить уязвимости, слабые места и потенциальные угрозы в системе, которые могут привести к несанкционированному доступу, утечке данных, отказу в обслуживании или порче информации.

Почему Security Testing — это именно нефункциональное тестирование?

  • Фокус на качестве, а не на функции. Функциональный тест для страницы входа проверяет: "Может ли пользователь с правильными данными войти в систему?". Тест безопасности для той же страницы проверяет: "Можно ли войти, используя SQL-инъекцию?", "Защищено ли соединение по HTTPS?", "Происходит ли блокировка аккаунта после N неудачных попыток?".
  • Кросс-функциональность. Требования безопасности не привязаны к одной кнопке или форме. Они пронизывают всё приложение: аутентификацию, авторизацию, обработку данных, конфигурацию сервера, сетевые настройки.
  • Измеримость по атрибутам безопасности. Оценка проводится по таким критериям, как конфиденциальность (данные доступны только авторизованным пользователям), целостность (данные не могут быть изменены несанкционированно), аутентичность (подтверждение личности), доступность (система доступна авторизованным пользователям), неотказуемость (действия пользователя могут быть атрибутированы).

Связь с другими видами тестирования и методы проведения

Security Testing — это общий термин, который включает в себя множество техник и методов, которые могут применяться на разных этапах жизненного цикла (SDLC):

  • Статический анализ безопасности (SAST): Анализ исходного кода или байт-кода на наличие известных шаблонов уязвимостей. 
    // Пример уязвимости (SQL-инъекция), которую может найти SAST-инструмент:
String query = "SELECT * FROM users WHERE login = '" + userInput + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(query); // Опасность! userInput может быть "admin' OR '1'='1"
  • Динамический анализ безопасности (DAST): "Черноящичное" тестирование работающего приложения через его интерфейсы (обычно HTTP/HTTPS) для поиска уязвимостей во время выполнения.
  • Пентест (тестирование на проникновение): Моделирование атаки злоумышленника с целью получения доступа к системе или данным.
  • Анализ зависимостей (SCA): Проверка сторонних библиотек и компонентов на известные уязвимости (CVE).
  • Конфигурационное тестирование: Проверка безопасности настроек ОС, веб-сервера, базы данных, сетевых устройств.

Заключение

Отнесение Security Testing к нефункциональным видам подчеркивает его системный, атрибутивный характер. В современной DevOps-практике (DevSecOps) безопасность перестала быть отдельной фазой и интегрируется на всех этапах: от проектирования (Security by Design) и написания кода до мониторинга работающего приложения. Поэтому для QA Automation инженера понимание принципов безопасности и умение автоматизировать соответствующие проверки (например, с помощью OWASP ZAP API, библиотек для анализа зависимостей или написание тестов на негативные сценарии) становится не просто преимуществом, а необходимым профессиональным навыком.