When in the project life-cycle would you fit in external penetration/security testing of the software?
Succede in ogni fase del ciclo di vita.
Innanzitutto, i test di penetrazione sono solo una piccola parte di un puzzle di sicurezza più complesso.
In secondo luogo, i test di penetrazione includono una configurazione di runtime e un'adeguata amministrazione nonché un problema di implementazione del software. I test di penetrazione richiedono il corretto patching e configurazione di SO, server Web, database, firewall e software applicativo.
Esegui test di penetrazione dell'architettura prima di iniziare a fare progetti dettagliati. L'architettura è sicura?
Esegui test di penetrazione del design. Quanto è sicuro il design? Quali opportunità di penetrazione saranno presenti?
Esegui test di penetrazione come parte della codifica e dei test di unità. Il codice soddisfa il design? Utilizza correttamente le funzionalità architettoniche per prevenire problemi di sicurezza?
È quindi possibile sottoporre il prodotto software finale a tutti i tipi di controllo della sicurezza, inclusi - ma non limitati a - test di penetrazione.
La sicurezza è pervasiva. O ha dei buchi. Non è un "passo" nel piano di lavoro. È un principio di base.