Linee guida / norme per i test di penetrazione validi

2

Faccio parte di una squadra a cui è stato chiesto di penetrare in test un'applicazione che non è ancora disponibile in GA o persino in una release candidate. Credo che qualsiasi risultato di pen-test, positivo o negativo non sarebbe valido poiché il codice sottostante potrebbe cambiare drasticamente tra test e disponibilità generale. La visione dell'organizzazione di sviluppo è che hanno corretto alcune vulnerabilità nella prossima versione e vogliono verificare che sia vero e determinare se sono state introdotte nuove vulnerabilità.

Le mie domande:

  • Esistono standard o linee guida per ciò che costituisce un test di penetrazione valido?
  • Esistono best practice o guide in merito al pentesting di software alfa / beta che non ha colpito GA?

NOTA: sto cercando le linee guida su cosa rende valido un pen-test o quali azioni lo invalidano.

    
posta kenlukas 19.07.2018 - 15:06
fonte

0 risposte

Leggi altre domande sui tag