我对安全审核和安全测试有些困惑,难道它们都不都针对安全漏洞进行测试吗?

它们之间有什么区别?

#1 楼


安全审核和安全测试之间的区别



执行安全审核是为了查找公司安全流程和基础结构中的安全弱点,而安全测试附带了更多功能
安全审核正在测试难以直接测试的内容(密码是否定期更改?),而安全测试通常具有直接方法(密码是否太弱?)。


安全审计和安全测试也有共同点



它们具有相同的目的,即定位漏洞。
/>对于某些公司,安全测试可以作为安全审核的一部分。


评论

说得很好。通常,审核会评估漏洞以及如何将策略应用于漏洞。测试通常会走得更远,因为它将涉及提供相对于被测试组织的漏洞证明以及潜在的补救方法。

– maznika
17年3月16日在1:05

#2 楼

频率


安全审核是一次性的或不经常的,但定期的,例如每年一次或每季度一次,通常是为了遵守法规而进行的。可能还需要由与编写软件以及软件附带的安全性测试小组不同的小组执行。
安全性测试是一种持续不断的实践,理想情况下,对于软件的每次更改,都应进行此测试应用程序开发的一部分和/或作为处理安全性方面(如身份验证和授权)的代码的一部分。


评论

非常感谢你。我认为安全审核是一项常规活动。

–奥斯卡
17年3月15日在22:23
可以是固定的,但通常是一个季度或一年一次

–迈克尔·杜兰特(Michael Durrant)
17年3月15日在22:30

#3 楼

本质上,“审核”表示职能上负责的一方之外的第三方正在对任何事项进行独立评估。因此,安全审核将是由外部人员执行。安全测试可以用于开发/渗透/边界/审计/等...
总的来说,我希望执行的安全测试与安全审计的目标相匹配。通常,会进行审核以证明批准并保持有关安全性的一致性。您不想一次批准安全性然后松懈,因此他们会定期审核安全性,以确保进行了适当的修补和升级以确保系统/应用程序的安全。
您的问题的术语是通用的,如果您有更具体的术语,例如渗透测试,漏洞评估,其他有关应用程序安全性的认可认证,那么这些差异的细微差别就可以被发现。