Ngayon, ang seguridad ng software ay kritikal sa pagprotekta sa data ng mga organisasyon at gumagamit. Sinusuri ng blog post na ito ang mga pangunahing yugto ng pagsubok sa seguridad ng software at iba't ibang mga pamamaraan ng pagsubok sa pagtagos nang detalyado. Ang pokus ay sa mga paksa tulad ng mga yugto ng pagsubok sa seguridad ng software, pagtukoy sa mga lugar na may mataas na panganib, at pagsusuri ng mga ulat sa pagsubok sa pagtagos. Inihahambing din nito ang mga tanyag na tool sa pagsubok sa seguridad ng software at nagtatanghal ng mga pinakamahusay na kasanayan. Ang mga mahahalagang punto na dapat isaalang-alang sa proseso ng pag-unlad ng software ay binibigyang-diin, at ang mga hakbang at layunin na gagawin upang madagdagan ang seguridad ng software ay tinukoy. Nilalayon ng gabay na ito na itaas ang kamalayan at himukin ang pagkilos sa seguridad ng software.
Bakit Mahalaga ang Seguridad ng Software?
Sa panahon ngayon, malaki ang papel na ginagampanan ng software sa lahat ng aspeto ng ating buhay. Nakasalalay kami sa software sa maraming aspeto, mula sa mga transaksyon sa pagbabangko hanggang sa mga serbisyong pangkalusugan, mula sa komunikasyon hanggang sa libangan. Ginagawa nitong mas mahalaga ang isyu ng seguridad ng software kaysa dati. Ang hindi ligtas na software ay maaaring humantong sa pagnanakaw ng personal na data, pagkalugi sa pananalapi, pinsala sa reputasyon, at kahit na mga sitwasyong nagbabanta sa buhay. Samakatuwid, ang pagtuon sa seguridad mula sa simula ng proseso ng pag-unlad ng software ay isang kritikal na hakbang upang mabawasan ang mga potensyal na panganib.
Ang kahalagahan ng seguridad ng software ay nalalapat hindi lamang sa mga indibidwal na gumagamit kundi pati na rin sa mga institusyon at pamahalaan. Ang seguridad ng data ng korporasyon ay mahalaga para sa pagpapanatili ng isang mapagkumpitensyang kalamangan, pagsunod sa mga ligal na regulasyon, at pagtiyak ng tiwala ng customer. Para sa mga estado, kinakailangan upang protektahan ang mga kritikal na imprastraktura, tiyakin ang pambansang seguridad at maging lumalaban sa mga pag-atake sa cyber. Samakatuwid, ang seguridad ng software ay naging isang mahalagang bahagi ng mga patakaran sa pambansang seguridad.
Mga Pakinabang ng Seguridad ng Software
- Proteksyon ng personal at corporate data
- Pag-iwas sa mga pagkalugi sa pananalapi
- Protektahan ang reputasyon at dagdagan ang tiwala ng customer
- Tinitiyak ang pagsunod sa mga legal na regulation
- Pagtaas ng paglaban sa mga pag-atake sa cyber
- Proteksyon ng mga kritikal na imprastraktura
Ang pagtiyak ng seguridad ng software ay hindi lamang isang teknikal na isyu. Kasabay nito, nangangailangan ito ng isang kultura ng organisasyon at isang patuloy na proseso. Ang pagsasanay sa mga developer ng software sa seguridad, pagsasagawa ng regular na mga pagsubok sa seguridad, mabilis na pag-aayos ng mga kahinaan sa seguridad, at patuloy na pag-update ng mga patakaran sa seguridad ay mahalagang hakbang sa prosesong ito. Bilang karagdagan, ang pagpapataas ng kamalayan ng mga gumagamit tungkol sa seguridad at pagpapakita ng ligtas na pag-uugali ay gumaganap ng isang mahalagang papel sa pagtiyak ng seguridad ng software.
| Uri ng Panganib | Paliwanag | Mga Posibleng Resulta |
|---|---|---|
| Paglabag sa Data | Ang sensitibong data ay nakalantad sa hindi awtorisadong pag-access. | Pagnanakaw ng pagkakakilanlan, pagkalugi sa pananalapi, pinsala sa reputasyon. |
| Pagtanggi sa Serbisyo (DoS) | Ang isang sistema o network ay nagiging overloaded at hindi na magagamit. | Pagkagambala sa negosyo, pagkawala ng kita, kawalan ng kasiyahan ng customer. |
| Malware | Impeksyon ng system na may malisyosong software tulad ng mga virus, trojan, ransomware. | Pagkawala ng data, pagkabigo ng system, mga kahilingan ng ransom. |
| SQL Injection | Pagkuha ng hindi awtorisadong pag-access sa database gamit ang mga nakakahamak na SQL code. | Pagmamanipula ng data, pagtanggal ng data, pagkuha ng account. |
Ang seguridad ng software ay isang kailangang-kailangan na elemento sa digital na mundo ngayon. Mahalaga na mamuhunan at pangalagaan ang seguridad ng softwareupang matiyak ang seguridad ng mga indibidwal, institusyon, at pamahalaan, maiwasan ang pagkalugi sa ekonomiya, at protektahan ang reputasyon nito. Hindi dapat kalimutan na ang seguridad ay hindi lamang isang produkto, ito ay isang patuloy na proseso at kinakailangan na laging maging handa para sa pinaka-napapanahong mga banta.
Mga Pangunahing Yugto ng Pagsubok sa Seguridad ng Software
Ang pagsubok sa software ay isang kritikal na proseso para sa pagtukoy at pagtugon sa mga kahinaan ng isang application ng software. Sinusuri ng mga pagsubok na ito kung gaano nababanat ang application sa mga potensyal na banta at nagbibigay ng pagkakataon para sa mga developer na mapabuti ang kanilang mga hakbang sa seguridad. Ang isang matagumpay na proseso ng pagsubok sa seguridad ng software ay binubuo ng ilang mga yugto, kabilang ang pagpaplano, pagsusuri, pagpapatupad, at pag-uulat.
| Entablado | Paliwanag | Mahahalagang Gawain |
|---|---|---|
| Pagpaplano | Tukuyin ang saklaw at layunin ng pagsusulit. | Pagtatasa ng panganib, pagpili ng tool, paglikha ng timeline. |
| Pagsusuri | Suriin ang arkitektura ng application at mga potensyal na kahinaan. | Pagsusuri ng code, pagmomodelo ng banta, pagtukoy ng mga kinakailangan sa seguridad. |
| APLIKASYON | Magsagawa ng mga pagsubok sa seguridad at i-record ang mga natuklasan. | Mga pagsubok sa pagtagos, static na pagsusuri, dynamic na pagsusuri. |
| Pag-uulat | Natagpuan ng pag-uulat ang mga kahinaan at inirerekomendang mga solusyon. | Pagtukoy ng mga antas ng panganib, pag-aalok ng mga mungkahi sa pagpapabuti, follow-up ng pagwawasto. |
Ang bawat isa sa mga yugtong ito ay mahalaga para sa pagpapabuti ng pangkalahatang posisyon ng seguridad ng application. Sa yugto ng pagpaplano, mahalagang linawin ang layunin at saklaw ng pagsubok, maglaan ng mga mapagkukunan nang tumpak, at magtatag ng isang makatotohanang timeline. Sa yugto ng pagsusuri, ang pag-unawa sa mga kahinaan ng application at pagtukoy sa mga potensyal na vector ng pag-atake ay mahalaga para sa pagbuo ng epektibong mga diskarte sa pagsubok.
Hakbang sa Hakbang na Proseso ng Pagsubok
- Pagkakakilanlan ng Mga Kinakailangan: Tukuyin at idokumento ang mga kinakailangan sa seguridad.
- Pagmomodelo ng Banta: Tukuyin at pag-aralan ang mga potensyal na banta sa application.
- Pagse-set up ng Kapaligiran sa Pagsubok: Lumikha ng isang ligtas at nakahiwalay na kapaligiran para sa pagsubok.
- Pagbuo ng Mga Kaso ng Pagsubok: Lumikha ng mga kaso ng pagsubok laban sa mga natukoy na banta.
- Pagpapatupad ng Mga Pagsubok: Ipatupad ang mga kaso ng pagsubok at itala ang mga resulta.
- Pagsusuri ng Mga Resulta: Suriin ang mga resulta ng pagsubok at tukuyin ang mga kahinaan sa seguridad.
- Pag-uulat at Pagwawasto: Iulat ang mga kahinaan at subaybayan ang mga aksyon sa pagwawasto.
Sa panahon ng yugto ng pagpapatupad, mahalagang subukan ang iba't ibang mga aspeto ng application gamit ang iba't ibang mga pamamaraan sa pagsubok sa seguridad upang matiyak ang isang komprehensibong pagtatasa ng seguridad. Sa yugto ng pag-uulat, ang pag-uulat ng mga kahinaan na natagpuan sa isang malinaw at nauunawaan na paraan ay tumutulong sa mga developer na malutas ang mga isyu nang mabilis. Ang pag-aayos ng pagsubaybay ay isang kritikal na hakbang upang matiyak na ang mga kahinaan ay natugunan at upang itaas ang pangkalahatang antas ng seguridad ng application.
Hindi dapat kalimutan na, seguridad ng software tests are not a one-time process. Dapat itong regular na paulit-ulit at na-update sa buong lifecycle ng pag-unlad ng application. Habang lumilitaw ang mga bagong banta at nagbabago ang pagsasanay, ang mga diskarte sa pagsubok sa seguridad ay dapat umangkop nang naaayon. Ang patuloy na pagsubok at pagpipino ay ang pinakamahusay na diskarte upang matiyak ang seguridad ng app at mabawasan ang mga potensyal na panganib.
Mga Pamamaraan ng Pagsubok sa Penetration: Mga Pangunahing Diskarte
Ang mga pamamaraan ng pagsubok sa pagtagos ay nakabalangkas na mga diskarte na ginagamit upang masuri ang seguridad ng software ng isang system o application. Ang mga pamamaraang ito ay nagdidikta kung paano binalak, isinasagawa, at iniulat ang mga pagsubok sa pagtagos. Ang pagpili ng tamang pamamaraan ay direktang nakakaapekto sa saklaw, lalim, at pagiging epektibo ng pagsubok. Samakatuwid, mahalaga na magpatibay ng isang pamamaraan na nakahanay sa mga partikular na pangangailangan at profile ng panganib ng bawat proyekto.
Ang iba't ibang pamamaraan ng pagsubok sa pagtagos ay nagta-target ng iba't ibang kahinaan at gayahin ang iba't ibang mga vector ng pag-atake. Ang ilang mga pamamaraan ay nakatuon sa imprastraktura ng network, habang ang iba ay nagta-target ng mga web application o mobile application. Bukod dito, ang ilang mga pamamaraan ay gayahin ang isang umaatake mula sa loob, habang ang iba ay nagpatibay ng pananaw ng isang umaatake mula sa labas. Mahalaga na maging handa sa anumang sitwasyon ang ganitong uri ng pag-aaral.
| Pamamaraan | Lugar ng Pokus | Discrete |
|---|---|---|
| OSSTMM | Mga Operasyon sa Seguridad | Detalyadong mga pagsubok sa seguridad |
| OWASP | Mga Web Application | Mga kahinaan sa web application |
| NIST | Seguridad ng System | Pagsunod sa mga pamantayan |
| PTES | Pagsubok sa Pagpasok | Komprehensibong mga proseso ng pagsubok sa pagtagos |
Sa panahon ng proseso ng pagsubok sa pagtagos, ang mga tester ay gumagamit ng iba't ibang mga tool at pamamaraan upang matukoy ang mga kahinaan at kahinaan sa system. Kasama sa prosesong ito ang pangangalap ng impormasyon, pagmomodelo ng banta, pagsusuri sa kahinaan, pagsasamantala, at mga yugto ng pag-uulat. Ang bawat yugto ay nangangailangan ng maingat na pagpaplano at pagpapatupad. Sa partikular, sa yugto ng pagsasamantala, dapat mag-ingat nang husto upang maiwasan ang pagkasira ng mga system at maiwasan ang pagkawala ng data.
Mga Katangian ng Iba't ibang Mga Pamamaraan
- OSSTMM: Nakatuon sa mga operasyon sa seguridad at nag-aalok ng detalyadong pagsubok.
- OWASP: Isa sa mga pinaka-malawak na ginagamit na pamamaraan para sa mga aplikasyon sa web.
- NIST: Tinitiyak ang pagsunod sa mga pamantayan sa seguridad ng system.
- PTES: Nagbibigay ng isang komprehensibong gabay na sumasaklaw sa bawat yugto ng pagsubok sa pagtagos.
- ISSAF: Nag-aalok ng isang diskarte na nakabatay sa panganib sa mga pangangailangan sa seguridad ng mga negosyo.
Ang pagpili ng pamamaraan ay dapat isaalang-alang ang mga kadahilanan tulad ng laki ng samahan, mga regulasyon sa industriya, at ang pagiging kumplikado ng mga naka-target na sistema. Para sa isang maliit na negosyo, ang OWASP ay maaaring sapat, habang para sa isang malaking institusyong pampinansyal, ang NIST o OSSTMM ay maaaring mas angkop. Mahalaga rin na ang napiling pamamaraan ay nakahanay sa mga patakaran at pamamaraan sa seguridad ng organisasyon.
Manu-manong Pagsubok sa Pagtagos
Ang manu-manong pagsubok sa pagtagos ay isang diskarte sa pagtukoy ng mga kumplikadong kahinaan na isinasagawa ng mga dalubhasang analyst ng seguridad at kung saan ang mga awtomatikong tool ay hindi maikli. Sa mga pagsubok na ito, ang mga analyst ay nakakakuha ng isang malalim na pag-unawa sa lohika at pagpapatakbo ng mga system at application, na nagbubunyag ng mga kahinaan na maaaring makaligtaan ng mga ordinaryong pag-scan ng seguridad. Ang manu-manong pagsubok, na kadalasang ginagamit kasabay ng awtomatikong pagsubok, ay nagbibigay ng mas komprehensibo at epektibong pagtatasa ng seguridad.
Awtomatikong Pagsubok sa Pagtagos
Ang awtomatikong pagsubok sa pagtagos ay isinasagawa sa pamamagitan ng mga tool ng software at mga script na ginagamit upang mabilis na matukoy ang mga tukoy na kahinaan. Ang mga pagsubok na ito ay mainam para sa pag-scan ng malalaking system at network, na nagse-save ng oras at mga mapagkukunan sa pamamagitan ng pag-automate ng paulit-ulit na mga gawain. Gayunpaman, ang awtomatikong pagsubok ay hindi maaaring mag-alok ng malalim na pagsusuri at pagpapasadya na maibibigay ng manu-manong pagsubok. Samakatuwid, ang awtomatikong pagsubok ay kadalasang ginagamit kasabay ng manu-manong pagsubok, na nagreresulta sa isang mas komprehensibong pagsusuri sa kaligtasan.
Mga Tool sa Pagsubok sa Seguridad ng Software: Paghahambing
Ang mga tool na ginamit sa pagsubok ng software ay may mahalagang papel sa pagtukoy at pagtugon sa mga kahinaan sa seguridad. Ang mga tool na ito ay nakakatipid ng oras at binabawasan ang panganib ng pagkakamali ng tao sa pamamagitan ng pagsasagawa ng mga awtomatikong pagsubok. Mayroong maraming mga tool sa pagsubok sa seguridad ng software na magagamit sa merkado upang umangkop sa iba't ibang mga pangangailangan at badyet. Ang mga tool na ito ay tumutulong na matukoy ang mga kahinaan sa pamamagitan ng iba't ibang mga pamamaraan, tulad ng static na pagsusuri, dynamic na pagsusuri, at interactive na pagsusuri.
Nag-aalok ang Magkaiba Seguridad NG Software tool ng iba't ibang mga tampok at kakayahan. Ang ilan ay tumutukoy sa mga potensyal na kahinaan sa pamamagitan ng pagsasagawa ng pagsusuri ng source code, habang ang iba ay sumusubok sa mga tumatakbo na application upang matukoy ang mga isyu sa seguridad sa real-time. Kapag pumipili ng isang sasakyan, dapat isaalang-alang ang mga kadahilanan tulad ng mga pangangailangan ng proyekto, badyet at antas ng kadalubhasaan. Ang pagpili ng tamang tool ay maaaring makabuluhang mapahusay ang seguridad ng software, na ginagawang mas lumalaban sa mga potensyal na pag-atake sa hinaharap.
| Pangalan ng Sasakyan | Uri ng Pagsusuri | Mga tampok | Uri ng Lisensya |
|---|---|---|---|
| SonarQube | Static na Pagsusuri | Pagsusuri sa kalidad ng code, pagtuklas ng kahinaan | Open Source (Community Edition), Komersyal |
| OWASP ZAP | Dynamic na Pagsusuri | Pag-scan ng kahinaan ng web application, pagsubok sa pagtagos | Bukas na Mapagkukunan |
| Acunetix | Dynamic na Pagsusuri | Pag-scan ng kahinaan ng web application, awtomatikong pagsubok sa pagtagos | Commerial |
| Veracode | Static at Dynamic na Pagsusuri | Pagsusuri ng code, pagsubok sa application, pamamahala ng kahinaan | Commerial |
Listahan ng Mga Popular na Tool
- SonarQube: Ginagamit ito upang suriin ang kalidad at seguridad ng code.
- OWASP ZAP: Ito ay isang libreng tool na idinisenyo upang mahanap ang mga kahinaan ng web application.
- Acunetix: Nagsasagawa ito ng awtomatikong pag-scan ng seguridad para sa mga website at application.
- Burp Suite: Malawakang ginagamit ito upang magsagawa ng mga pagsubok sa pagtagos sa mga web application.
- Veracode: Pinagsasama nito ang static at dynamic na mga pamamaraan ng pagsusuri, na nag-aalok ng komprehensibong pagsubok sa seguridad.
- Checkmark: Tumutulong ito sa pagtukoy ng mga kahinaan nang maaga sa proseso ng pag-unlad.
Kapag inihahambing ang mga tool sa pagsubok ng software, dapat isaalang-alang ang mga kadahilanan tulad ng rate ng katumpakan, bilis ng pag-scan, kakayahan sa pag-uulat, at kadalian ng paggamit. Ang ilang mga tool ay maaaring mas katugma sa mga tukoy na wika ng programming o platform, habang ang iba ay nag-aalok ng isang mas malawak na hanay ng suporta. Bilang karagdagan, ang mga ulat na ibinigay ng mga tool ay dapat magsama ng detalyadong impormasyon upang maunawaan at ayusin ang mga kahinaan sa seguridad. Sa huli, ang pinakamahusay na tool ay ang isa na pinakamahusay na nakakatugon sa mga tiyak na kinakailangan ng proyekto.
Hindi dapat kalimutan na, seguridad ng software ay hindi maaaring makamit sa mga tool nag-iisa. Habang ang mga tool ay isang mahalagang bahagi ng proseso ng seguridad, ang mabuting kasanayan sa seguridad ay kailangan ding isaalang-alang ang tamang mga pamamaraan at ang kadahilanan ng tao. Ang pagtaas ng kamalayan sa seguridad sa mga koponan sa pag-unlad, pagbibigay ng regular na pagsasanay, at pagsasama ng pagsubok sa seguridad sa lifecycle ng pag-unlad ng software ay kabilang sa mga pinaka-epektibong paraan upang mapahusay ang pangkalahatang seguridad ng software.
Mga Pinakamahusay na Kasanayan sa Seguridad ng Software
Ang seguridad ng software ay isang kritikal na elemento na dapat isaalang-alang sa bawat yugto ng proseso ng pag-unlad. Ang pagsulat ng ligtas na code, regular na pagsubok sa seguridad, at pagkuha ng mga proactive na hakbang laban sa kasalukuyang mga banta ay mahalaga upang matiyak ang seguridad ng software. Kaugnay nito, mayroong ilang mga pinakamahusay na kasanayan na dapat gamitin ng mga developer at mga propesyonal sa seguridad.
Ang mga kahinaan ay karaniwang sanhi ng mga pagkakamali na ginawa sa maagang yugto ng siklo ng buhay ng pag-unlad ng software (SDLC). Samakatuwid, ang seguridad ay dapat isaalang-alang sa bawat hakbang, simula mula sa pagsusuri ng mga kinakailangan hanggang sa disenyo, pag-coding, pagsubok, at pag-deploy. Halimbawa, ang masusing pansin sa pagpapatunay ng input, awtorisasyon, pamamahala ng session, at pag-encrypt ay maaaring maiwasan ang mga potensyal na kahinaan sa seguridad.
Wastong Mga Protokol sa Kaligtasan
- Pagpapatunay ng Input: Maingat na sinusuri ang lahat ng data na natanggap mula sa gumagamit.
- Awtorisasyon at Pagpapatunay: Tumpak na pagpapatunay at pagpapahintulot sa mga gumagamit at system.
- Pag-encrypt: Pag-encrypt ng sensitibong data kapwa sa imbakan at sa paghahatid.
- Pamamahala ng Sesyon: Pagpapatupad ng mga ligtas na mekanismo ng pamamahala ng sesyon.
- Pamamahala ng Error: Ligtas na paghawak ng mga error at pagpigil sa pagkakalantad ng sensitibong impormasyon.
- Mga Update sa Seguridad: Regular na pag-update ng lahat ng software at aklatan na ginamit.
Ang pagsubok sa seguridad ay isang kailangang-kailangan na tool para sa pagtuklas at pag-aayos ng mga kahinaan ng software. Ang iba't ibang mga aspeto ng software ay maaaring masuri para sa seguridad sa pamamagitan ng paggamit ng iba't ibang mga pamamaraan ng pagsubok tulad ng static analysis, dynamic analysis, fuzzing, at penetration test. Ang paggawa ng mga kinakailangang pagwawasto at pagsasara ng mga kahinaan sa seguridad batay sa mga resulta ng pagsubok ay makabuluhang nagdaragdag ng seguridad ng software.
| Lugar ng App | Paliwanag | Kahalagahan |
|---|---|---|
| Pagpapatunay ng Input | Sinusuri ang uri, haba at format ng data na natanggap mula sa user. | Pinipigilan ang mga pag-atake tulad ng SQL injection at XSS. |
| Awtorization | Siguraduhin na ang mga gumagamit ay may access lamang sa mga mapagkukunan na pinahihintulutan nila. | Pinipigilan nito ang mga paglabag sa data at hindi awtorisadong pag-access. |
| Pag-encrypt | Paggawa ng sensitibong data na hindi nababasa. | Tinitiyak nito na protektado ang data kahit na sa kaso ng pagnanakaw. |
| Mga Pagsusuri sa Seguridad | Pagsubok upang matukoy ang mga kahinaan sa software. | Tinitiyak nito na ang mga kahinaan ay natukoy at naayos nang maaga. |
Kamalayan sa seguridad Mahalaga na kumalat ito sa buong koponan ng pag-unlad. Ang pagsasanay sa mga developer sa pagsulat ng secure code ay tumutulong na makilala ang mga kahinaan sa maagang yugto. Bilang karagdagan, ang pag-oorganisa ng regular na pagsasanay sa mga banta sa seguridad at pinakamahusay na kasanayan ay nag-aambag sa pagbuo ng isang kultura ng seguridad. Dapat pansinin na seguridad ng software Ito ay isang tuluy-tuloy na proseso at nangangailangan ng patuloy na atensyon at pagsisikap.
Pagtukoy sa Mga Lugar na Mataas ang Panganib
Ang pag-unawa kung saan ang mga kahinaan ay nakatuon sa proseso ng pagbuo ng software seguridad ng software ay nagsisiguro ng wastong paglalaan ng mga mapagkukunan. Nangangahulugan ito ng pagtukoy sa mga potensyal na ibabaw ng pag-atake at mga kritikal na punto kung saan maaaring mangyari ang mga kahinaan. Ang pagtukoy sa mga lugar na may mataas na panganib ay tumutulong na paliitin ang saklaw ng mga pagsubok sa seguridad at mga pagsubok sa pagtagos, na humahantong sa mas epektibong mga resulta. Pinapayagan nito ang mga koponan sa pag-unlad na unahin ang mga kahinaan sa seguridad at makabuo ng mas mabilis na mga solusyon.
Mayroong iba't ibang mga pamamaraan na ginagamit upang matukoy ang mga lugar na may mataas na panganib. Kabilang dito ang pagmomodelo ng banta, pagsusuri sa arkitektura, pagsusuri ng code, at pagsusuri ng data ng makasaysayang kahinaan. Ang pagmomodelo ng banta ay nakatuon sa pag-unawa sa mga layunin ng mga potensyal na umaatake at ang mga taktika na maaari nilang gamitin. Ang pagsusuri ng arkitektura ay naglalayong matukoy ang mga kahinaan sa pamamagitan ng pagsusuri sa pangkalahatang istraktura ng software at ang mga pakikipag-ugnayan sa pagitan ng mga bahagi. Sa kabilang banda, sinusuri ng pagsusuri ng code ang linya ng source code upang makahanap ng mga potensyal na kahinaan sa seguridad.
Mga halimbawa ng Risky Subs
- Mga mekanismo ng pagpapatunay at awtorisasyon
- Pagpapatunay ng pagpasok ng data
- Mga operasyon ng kriptograpiko
- Pamamahala ng sesyon
- Paghawak ng error at pag-log
- Mga aklatan at bahagi ng third-party
Ang sumusunod na talahanayan ay nagbubuod ng ilan sa mga pangunahing kadahilanan na ginagamit sa pagtukoy ng mga lugar na may mataas na panganib at ang kanilang mga potensyal na epekto. Ang pagsasaalang-alang sa mga salik na ito ay nagbibigay-daan para sa mas komprehensibo at epektibong seguridad ng pagsubok sa software .
| Salik | Paliwanag | Potensyal na Epekto |
|---|---|---|
| Pagpapatunay ng Pagkakakilanlan | Pagpapatunay at pagpapahintulot sa mga gumagamit | Pagnanakaw ng pagkakakilanlan, hindi awtorisadong pag-access |
| Pagpapatunay ng Data Entry | Suriin ang katumpakan ng data na natanggap mula sa gumagamit | SQL injection, pag-atake ng XSS |
| Kriptograpiya | Pag-encrypt at ligtas na pag-iimbak ng sensitibong data | Data leak, pagsalakay sa privacy |
| Pamamahala ng Secession | Ligtas na pamamahala ng mga sesyon ng gumagamit | Pag-hijack ng sesyon, hindi awtorisadong transaksyon |
Ang pagtukoy sa mga lugar na may mataas na panganib ay hindi lamang isang teknikal na proseso. Kailangan din nitong isaalang-alang ang mga kinakailangan sa negosyo at mga legal na regulasyon. Halimbawa, sa mga application kung saan pinoproseso ang personal na data, napakahalaga na sumunod sa mga legal na kinakailangan tungkol sa privacy at seguridad ng data. Samakatuwid, ang mga propesyonal sa seguridad at mga developer ay dapat isaalang-alang ang parehong teknikal at legal na mga kadahilanan kapag nagsasagawa ng mga pagtatasa ng panganib.
Mga Bagay na Dapat Isaalang-alang sa Proseso ng Pagsubok sa Seguridad ng Software
Ang proseso ng pagsubok ng Software ay isang kritikal na bahagi ng lifecycle ng pag-unlad ng software, na nangangailangan ng maingat na pagpaplano at pagpapatupad upang matiyak ang isang matagumpay na kinalabasan. Sa prosesong ito, maraming mga kadahilanan tulad ng saklaw ng mga pagsubok, ang mga tool na ginamit, at ang pagpapasiya ng mga sitwasyon ng pagsubok ay napakahalaga. Bilang karagdagan, ang tumpak na pagsusuri ng mga resulta ng pagsubok at paggawa ng mga kinakailangang pagwawasto ay isang mahalagang bahagi ng proseso. Kung hindi man, ang mga potensyal na kahinaan ay hindi maaaring matugunan, at ang seguridad ng software ay maaaring makompromiso.
| Entablado | Paliwanag | Inirerekomendang Apps |
|---|---|---|
| Pagpaplano | Pagtukoy ng saklaw ng pagsubok at mga layunin. | Tukuyin ang mga priyoridad sa pamamagitan ng pagsasagawa ng pagtatasa ng panganib. |
| Kapaligiran ng Pagsubok | Paglikha ng isang makatotohanang kapaligiran sa pagsubok. | Lumikha ng isang kapaligiran na sumasalamin sa kapaligiran ng produksyon. |
| Mga Sitwasyon ng Pagsubok | Paghahanda ng mga sitwasyon na sumasaklaw sa iba't ibang mga vector ng pag-atake. | Subukan ang mga kilalang kahinaan tulad ng OWASP Top 10. |
| Pagsusuri at Pag-uulat | Detalyadong pagsusuri at pag-uulat ng mga resulta ng pagsubok. | Unahin ang mga natuklasan at magbigay ng mga mungkahi para sa mga pagwawasto. |
Sa panahon ng mga pagsubok sa kaligtasan, dapat mag-ingat sa mga malignant na resulta ng positibo . Ang mga maling positibo ay iniulat bilang mga kahinaan ng mga sitwasyon na hindi talaga kahinaan. Maaari itong magresulta sa hindi kinakailangang oras at mapagkukunan para sa mga koponan sa pag-unlad. Samakatuwid, ang mga resulta ng pagsubok ay dapat na masusing suriin at ang katumpakan nito ay dapat kumpirmahin. Kapag gumagamit ng mga awtomatikong tool, ang pagdaragdag nito ng manu-manong pagsusuri ay makakatulong na maiwasan ang mga naturang error.
Inirerekumendang Mga Tip para sa Tagumpay
- Simulan ang pagsubok sa maagang yugto at patuloy na ipatupad ito.
- Gumamit ng isang kumbinasyon ng iba't ibang mga pamamaraan ng pagsubok (static, dynamic, manual).
- Paganahin ang malapit na pakikipagtulungan sa pagitan ng mga koponan sa pag-unlad at seguridad.
- Regular na suriin ang mga resulta ng pagsubok at gumawa ng mga pagpapabuti.
- Lumikha ng isang mabilis at mahusay na proseso para sa pag-aayos ng mga kahinaan.
- Manatiling napapanahon sa pinakabagong mga banta sa seguridad.
Ang pagiging epektibo ng pagsubok sa seguridad ay direktang nauugnay sa pagiging napapanahon ng mga tool at pamamaraan na ginamit. Habang ang mga umuusbong na banta sa seguridad at mga diskarte sa pag-atake ay patuloy na nagbabago, ang mga tool sa pagsubok at pamamaraan ay dapat makasabay sa mga pagbabagong ito. Kung hindi, ang pagsubok ay maaaring tumuon sa mga hindi napapanahong kahinaan at makaligtaan ang mga umuusbong na panganib. Samakatuwid, mahalaga para sa mga koponan ng seguridad na makatanggap ng patuloy na pagsasanay at makasabay sa pinakabagong mga teknolohiya.
Sa proseso ng pagsubok sa seguridad ng software, hindi dapat balewalain ang salik ng tao . Ang mga developer at tester ay dapat na lubos na may kamalayan sa seguridad at madaling kapitan ng mga kahinaan. Posibleng madagdagan ang kamalayan na ito sa pamamagitan ng mga pagsasanay at kampanya sa kamalayan. Bilang karagdagan, mahalagang ibahagi ang impormasyong nakuha sa panahon ng pagsubok sa seguridad sa lahat ng mga miyembro ng koponan at gamitin ang impormasyong ito sa mga proyekto sa hinaharap. Maaari itong lumikha ng isang patuloy na pag-ikot ng pagpapabuti at patuloy na dagdagan ang seguridad ng software.
Pagsusuri ng Mga Ulat sa Pagsubok sa Pagtagos
Ang pagsusuri ng mga ulat ng pagsubok sa pagtagos ay bumubuo ng isang kritikal na yugto ng proseso ng seguridad ng software . Ang mga ulat na ito ay nagpapakita ng mga kahinaan at kahinaan sa seguridad ng application nang detalyado. Gayunpaman, kung ang mga ulat na ito ay hindi nasuri nang tama, ang mga epektibong solusyon sa natukoy na mga isyu sa seguridad ay hindi maaaring mabuo, at ang sistema ay maaari pa ring manatiling nasa panganib. Ang pagsusuri ng ulat ay nagsasangkot hindi lamang ng paglilista ng mga kahinaan na natagpuan kundi pati na rin ang pagtatasa ng kanilang potensyal na epekto at mga antas ng panganib sa system.
Ang mga ulat sa pagsubok sa pagtagos ay kadalasang magulo at magulo sa mga teknikal na termino. Samakatuwid, ang taong susuriin ang ulat ay dapat magkaroon ng parehong teknikal na kaalaman at isang mahusay na pag-unawa sa mga prinsipyo ng seguridad. Sa panahon ng proseso ng pagsusuri, mahalagang suriin nang detalyado ang bawat kahinaan, maunawaan kung paano mapagsamantalahan ang kahinaan, at suriin ang mga potensyal na kahihinatnan ng pagsasamantala na ito. Dapat ding matukoy kung aling mga bahagi ng system ang nakakaapekto sa kahinaan at kung paano ito nakikipag-ugnayan sa iba pang mga kahinaan.
Ang isa pang mahalagang pagsasaalang-alang sa pagsusuri ng ulat ay ang pagbibigay ng prayoridad sa mga natuklasan. Hindi lahat ng kahinaan ay nagdadala ng parehong antas ng panganib. Ang ilang mga kahinaan ay maaaring magkaroon ng mas malaking epekto sa system o mas madaling mapagsamantalahan. Samakatuwid, sa pagsusuri ng ulat, ang mga kahinaan sa seguridad ay dapat unahin ayon sa kanilang mga antas ng panganib at ang mga solusyon ay dapat na ginawa simula sa mga pinaka-kritikal na mga. Ang pagbibigay ng prayoridad ay kadalasang ginagawa sa pamamagitan ng pagsasaalang-alang sa mga kadahilanan tulad ng potensyal na epekto ng kahinaan, ang kadalian ng pagsasamantala, at ang posibilidad na mangyari ito.
Talahanayan ng Prioritization ng Ulat ng Pagsubok sa Pagtagos
| Antas ng Panganib | Paliwanag | Halimbawa | Inirekomendang Pagkilos |
|---|---|---|---|
| Kritikal | Mga kahinaan na maaaring humantong sa kumpletong pagkuha ng system o napakalaking pagkawala ng data. | SQL Injection, Remote Code Execution | Maaaring kailanganin ang agarang pag-aayos, maaaring kailanganin ang pag-shutdown ng system. |
| Mataas | Mga kahinaan na maaaring humantong sa pag-access sa sensitibong data o makagambala sa mahahalagang pag-andar ng system. | Pag-bypass ng Pagpapatunay, Hindi Awtorisadong Pag-access | Ang mga pansamantalang hakbang at pansamantalang hakbang ay maaaring gawin nang mabilis. |
| Gitna | Mga kahinaan na maaaring magkaroon ng limitadong epekto o mas mahirap samantalahin. | Cross-Site Scripting (XSS), Hindi Ligtas na Mga Default na Pagsasaayos | Nakaplanong pag-aayos, pagsasanay sa kamalayan sa seguridad. |
| Mababa | Mga kakulangan na karaniwang mababa ang panganib, ngunit kailangan pa ring ayusin. | Paglabas ng Impormasyon, Pagsisiwalat ng Impormasyon sa Bersyon | Maaari itong ilagay sa kalendaryo ng pagwawasto, dapat ipagpatuloy ang pagsubaybay. |
Bilang bahagi ng pagsusuri ng ulat, ang naaangkop na mga rekomendasyon sa pagwawasto para sa bawat kahinaan ay kailangang binuo at ipatupad. Ang mga rekomendasyong ito ay kadalasang maaaring nasa anyo ng mga pag-update ng software, mga pagbabago sa pagsasaayos, mga patakaran sa firewall, o mga pagbabago sa code. Upang maipatupad nang epektibo ang mga rekomendasyon sa pagwawasto, mahalaga na magkaroon ng malapit na pakikipagtulungan sa pagitan ng mga koponan sa pag-unlad at operasyon. Bukod pa rito, matapos mailapat ang mga pag-aayos, dapat subukan muli ang system at dapat ayusin ang mga kahinaan sa seguridad.
Mahahalagang Elemento sa Pagsusuri ng Ulat
- Natagpuan ang detalyadong pagsusuri ng mga kahinaan sa seguridad.
- Suriin ang mga potensyal na epekto ng mga kahinaan.
- Pagbibigay ng prayoridad sa mga kahinaan batay sa mga antas ng panganib.
- Pagbuo ng naaangkop na mga mungkahi sa pagwawasto.
- Muling pagsubok sa sistema pagkatapos ng pag-aayos ay inilalapat.
- Pakikipagtulungan sa pagitan ng mga koponan sa pag-unlad at operasyon.
Hindi dapat kalimutan na, seguridad ng software is a continuous process. Ang pagsusuri ng mga ulat sa pagsubok sa pagtagos ay isang hakbang lamang sa prosesong ito. Ang pagtukoy at pag-aayos ng mga kahinaan sa seguridad ay dapat isaalang-alang kasabay ng patuloy na pagsubaybay at pag-update ng system. Sa ganitong paraan lamang masisiguro ang seguridad ng mga sistema ng software at mabawasan ang mga potensyal na panganib.
Konklusyon: Mga Layunin para sa Seguridad ng Software
Ang seguridad ng software ay kritikal para sa proteksyon ng mga negosyo at gumagamit sa digital na mundo ngayon. Ang pagsubok sa seguridad ng software, mga pamamaraan ng pagsubok sa pagtagos, at mga pinakamahusay na kasanayan na tinalakay sa artikulong ito ay mahahalagang tool upang matulungan ang mga developer at mga propesyonal sa seguridad na lumikha ng mas ligtas na software. Ang pagsasama ng seguridad sa bawat yugto ng lifecycle ng pag-unlad ng software ay nagpapahusay sa katatagan ng mga system sa pamamagitan ng pag-minimize ng mga potensyal na kahinaan.
Upang lumikha ng isang epektibong diskarte sa seguridad ng software, kinakailangan na tumpak na suriin at unahin ang mga panganib. Ang pagtukoy at pagtuon sa mga lugar na may mataas na panganib ay nagsisiguro ng mas mahusay na paggamit ng mga mapagkukunan. Bilang karagdagan, ang regular na pagsasagawa ng mga pagsubok sa seguridad at pagsusuri ng mga ulat sa pagsubok sa pagtagos ay may mahalagang papel sa pagtukoy at pagtugon sa mga kahinaan sa mga system.
| Layunin | Paliwanag | Pamantayan |
|---|---|---|
| Pagpapahusay ng Kamalayan sa Kaligtasan | Pagpapataas ng kamalayan sa seguridad ng buong koponan ng pag-unlad. | Rate ng pakikilahok sa mga pagsasanay, pagbaba sa mga paglabag sa seguridad. |
| Pagsasama ng Mga Awtomatikong Pagsubok | Pagdaragdag ng awtomatikong pagsubok sa seguridad sa patuloy na proseso ng pagsasama. | Saklaw ng pagsubok, ang bilang ng mga kahinaan na natukoy. |
| Pagpapabuti ng Mga Proseso ng Pagsusuri ng Code | Pagpapatupad ng mga proseso ng pagsusuri ng code na nakatuon sa seguridad. | Bilang ng mga kahinaan na natagpuan sa bawat pagsusuri, mga sukatan ng kalidad ng code. |
| Pagsubaybay sa Mga Aklatan ng Third-Party | Regular na pagsubaybay sa mga ginamit na aklatan ng third-party para sa mga kahinaan. | Up-to-dateness ng mga bersyon ng library, bilang ng mga kilalang kahinaan. |
Ang pagtiyak ng seguridad ng software ay isang patuloy na proseso at hindi isang beses na solusyon. Ang mga koponan sa pag-unlad ay dapat magsikap na aktibong matugunan ang mga kahinaan at patuloy na pagbutihin ang mga hakbang sa seguridad. Kung hindi man, ang mga kahinaan ay maaaring magkaroon ng magastos na kahihinatnan at madungisan ang reputasyon ng mga negosyo. Nasa ibaba ang ilang mga inirerekumendang layunin para sa hinaharap:
Mga Inirerekumendang Layunin para sa Hinaharap
- Pagbibigay ng regular na pagsasanay sa seguridad sa mga koponan sa pag-unlad.
- Pag-automate ng mga proseso ng pagsubok sa seguridad at pagsasama ng mga ito sa proseso ng patuloy na pagsasama (CI).
- Pag-aampon ng mga diskarte na nakatuon sa seguridad sa mga proseso ng pagsusuri ng code.
- Regular na pag-scan ng mga aklatan at dependencies ng third-party para sa mga kahinaan.
- Lumikha ng mga plano sa pagtugon sa insidente ng seguridad at pagsasagawa ng mga regular na drill.
- Nakatuon sa seguridad ng supply chain ng software at pagbabahagi ng mga pamantayan sa seguridad sa mga supplier.
Ang seguridad ng software ay dapat na isang mahalagang bahagi ng mga modernong proseso ng pag-unlad ng software. Ang mga pananaw at inirerekumendang layunin na ipinakita sa artikulong ito ay makakatulong sa mga developer at mga propesyonal sa seguridad na lumikha ng mas ligtas at nababanat na software. Ang ligtas na pag-unlad ng software ay hindi lamang isang teknikal na obligasyon kundi pati na rin isang etikal na responsibilidad.
Pagkilos: Mga Hakbang para sa Seguridad ng Software
Ang pananatiling may kaalaman tungkol sa Seguridad ng Software ay mahalaga, ngunit ang pagkilos ay kung ano ang gagawa ng tunay na pagkakaiba. Ang pag-on ng teoretikal na kaalaman sa mga praktikal na hakbang ay maaaring makabuluhang mapahusay ang seguridad ng iyong mga proyekto sa software. Sa bahaging ito, magbibigay kami ng isang praktikal na gabay sa kung paano gawing kongkretong hakbang ang iyong natutunan. Ang unang hakbang ay upang lumikha ng isang diskarte sa seguridad at patuloy na pagbutihin ito.
Ang isa sa mga pangunahing elemento na dapat isaalang-alang kapag lumilikha ng isang diskarte sa seguridad ay ang pagsasagawa ng isang pagtatasa ng panganib. Ang pagtukoy kung aling mga lugar ang mas mahina ay tumutulong sa iyo na idirekta nang tama ang iyong mga mapagkukunan. Pinapayagan ka ng pagsusuri ng panganib na maunawaan ang mga potensyal na banta at ang kanilang mga posibleng epekto. Sa pamamagitan ng paggamit ng impormasyong ito, maaari mong unahin ang iyong mga hakbang sa seguridad at magbigay ng mas epektibong proteksyon.
| Lugar ng Panganib | Mga Posibleng Banta | Mga Aktibidad sa Pag-iwas |
|---|---|---|
| Seguridad sa Database | SQL Injection, Data Leakage | Pagpapatunay ng Input, Pag-encrypt |
| Pagpapatunay ng Pagkakakilanlan | Mga Pag-atake ng Brute Force, Phishing | Multi-Factor Authentication, Malakas na Mga Patakaran sa Password |
| Layer ng Application | Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) | Pag-encode ng Input / Output, Mga Token ng CSRF |
| Seguridad sa Network | Pagtanggi sa Serbisyo (DoS), Pag-atake ng Man-in-the-Middle | Firewall, SSL / TLS |
Ang mga sumusunod na hakbang ay nagbibigay ng mga praktikal na mungkahi na maaari mong ipatupad kaagad upang mapabuti ang seguridad ng iyong software. Ang mga hakbang na ito ay tumutugon sa mga pangunahing pagsasaalang-alang sa panahon at pagkatapos ng proseso ng pag-unlad.
Mga Hakbang na Maaaring Ipatupad nang Mabilis
- Isama ang pagsubok sa seguridad nang maaga sa proseso ng pag-unlad (Shift Left).
- Tukuyin ang mga potensyal na kahinaan sa pamamagitan ng pagsasagawa ng mga pagsusuri sa code.
- Regular na i-update ang mga aklatan at mga bahagi ng third-party.
- Laging i-validate at linisin ang mga input ng gumagamit.
- Gumamit ng malakas na mekanismo ng pagpapatunay (hal., Multi-factor authentication).
- Regular na i-scan ang iyong mga system at application para sa mga kahinaan.
- Bumuo ng isang plano sa pagtugon sa insidente para sa mabilis na pagtugon sa mga insidente ng seguridad.
Tandaan na ang seguridad ng software ay isang patuloy na proseso. Hindi mo malulutas ang lahat ng mga problema sa isang solong pagsubok o pag-aayos. Dapat kang regular na magsagawa ng mga pagsubok sa seguridad, maging handa para sa mga bagong banta, at patuloy na i-update ang iyong diskarte sa seguridad. Sa pamamagitan ng pagsunod sa mga hakbang na ito, maaari mong makabuluhang mapahusay ang seguridad ng iyong mga proyekto sa software at mabawasan ang mga potensyal na panganib.
Mga Madalas Itanong
Bakit mahalaga ang pagsubok sa seguridad ng software para sa mga negosyo?
Pinipigilan ng mga pagsubok sa seguridad ng software ang pinsala sa reputasyon sa pamamagitan ng pagprotekta sa sensitibong data at system ng mga negosyo mula sa mga pag-atake sa cyber. Bilang karagdagan, tumutulong ito na matiyak ang pagsunod sa mga legal na regulasyon at binabawasan ang mga gastos sa pag-unlad. Ang ligtas na software ay nagbibigay ng isang mapagkumpitensyang kalamangan sa pamamagitan ng pagtaas ng tiwala ng customer.
Ano ang Mga Pangunahing Pamamaraan na Ginagamit sa Pagsubok sa Seguridad ng Software?
Ang iba't ibang mga pamamaraan tulad ng static analysis, dynamic analysis, fuzzing, penetration testing (pentesting), at pag-scan ng kahinaan ay ginagamit sa pagsubok sa seguridad ng software. Sinusuri ng static na pagsusuri ang source code, habang sinusubukan ng dynamic na pagsusuri ang tumatakbo na application. Ipinatutupad ng Fuzzing ang application na may random na data, ang pagsubok sa pagtagos ay ginagaya ang mga pag-atake sa totoong mundo, at ang pag-scan ng kahinaan ay naghahanap para sa mga kilalang kahinaan.
Ano ang pagkakaiba sa pagitan ng mga diskarte sa 'itim na kahon', 'kulay-abo na kahon' at 'puting kahon' sa pagsubok sa pagtagos (pentesting)?
Sa pagsubok na 'black box', ang tester ay walang kaalaman sa system; Ginagaya nito ang sitwasyon ng isang tunay na umaatake. Sa pagsubok na 'grey box', ang tester ay binibigyan ng bahagyang impormasyon, halimbawa tungkol sa arkitektura ng system. Sa pagsubok na 'puting kahon', ang tester ay may kaalaman sa buong system, na nagbibigay ng mas malalim na pagsusuri.
Aling mga uri ng mga tool sa pagsubok sa seguridad ng software ang mas angkop para sa automation, at ano ang mga benepisyo na ibinibigay nito?
Ang mga scanner ng kahinaan at mga tool sa static na pagsusuri ay mas angkop para sa automation. Ang mga tool na ito ay maaaring awtomatikong makita ang mga kahinaan sa code o tumatakbo na mga application. Pinapabilis ng automation ang proseso ng pagsubok, binabawasan ang panganib ng pagkakamali ng tao, at pinapadali ang patuloy na pagsubok sa seguridad sa malakihang mga proyekto ng software.
Ano ang mga pinakamahusay na kasanayan na dapat gamitin ng mga developer upang mapahusay ang seguridad ng software?
Dapat sundin ng mga developer ang mga prinsipyo ng pagsulat ng secure code, mapanatili ang mahigpit na proseso ng pagpapatunay ng input, gumamit ng mga algorithm ng pag-encrypt nang tama, palakasin ang mga mekanismo ng awtorisasyon at pagpapatunay, at tumanggap ng regular na pagsasanay sa seguridad. Bilang karagdagan, mahalaga na panatilihing napapanahon ang mga aklatan at dependencies ng third-party.
Anong mga uri ng mga kahinaan ang dapat na pinaka-nakatuon sa isang pagsubok sa seguridad ng software?
Ang pokus ay dapat na nakatuon sa malawak na kilala at kritikal na naapektuhan ng mga kahinaan tulad ng OWASP Top Ten. Kabilang dito ang mga kahinaan tulad ng SQL injection, cross-site scripting (XSS), basag na pagpapatunay, mahina na mga bahagi, at hindi awtorisadong pag-access. Ang isang na-customize na diskarte batay sa mga partikular na pangangailangan at profile ng panganib ng negosyo ay mahalaga din.
Ano ang dapat bigyang-pansin sa panahon ng proseso ng pagsubok sa seguridad ng software?
Mahalagang matukoy nang tama ang saklaw ng mga pagsubok, upang maipakita ang tunay na kapaligiran ng produksyon, upang matiyak na ang mga sitwasyon ng pagsubok ay angkop para sa kasalukuyang mga banta, upang bigyang-kahulugan nang tama ang mga resulta ng pagsubok at upang maalis ang mga kahinaan na natagpuan nang naaangkop. Bilang karagdagan, ang regular na pag-uulat at pagsubaybay sa mga resulta ng pagsubok ay isang kritikal na elemento.
Paano dapat suriin ang penetration test report at anong mga hakbang ang dapat sundin?
Ang ulat ng pagsubok sa pagtagos ay dapat na niraranggo lalo na ayon sa kalubhaan ng mga kahinaan na natagpuan. Ang isang detalyadong paglalarawan, domain, antas ng panganib, at mga iminungkahing lunas para sa bawat kahinaan ay dapat suriin nang mabuti. Ang ulat ay dapat makatulong na unahin ang mga pag-aayos at lumikha ng mga plano sa pagpapabuti. Sa wakas, ang muling pagsubok ay dapat gawin pagkatapos ng mga pag-aayos upang matiyak na ang anumang mga kahinaan ay naayos.