Faccio parte di una squadra a cui è stato chiesto di penetrare in test un'applicazione che non è ancora disponibile in GA o persino in una release candidate. Credo che qualsiasi risultato di pen-test, positivo o negativo non sarebbe valido poiché il codice sottostante potrebbe cambiare drasticamente tra test e disponibilità generale. La visione dell'organizzazione di sviluppo è che hanno corretto alcune vulnerabilità nella prossima versione e vogliono verificare che sia vero e determinare se sono state introdotte nuove vulnerabilità.
Le mie domande:
- Esistono standard o linee guida per ciò che costituisce un test di penetrazione valido?
- Esistono best practice o guide in merito al pentesting di software alfa / beta che non ha colpito GA?
NOTA: sto cercando le linee guida su cosa rende valido un pen-test o quali azioni lo invalidano.