IT -Teststrategien, -umsetzung, -technologien

• About this group
• Forums

• Home
• Groups
• IT -Teststrategien, -umsetzung, -t ...
• Forums
• Teststufen
• Teststufe Anwendungssicherheit

• 
  Despina Leonhard

  The company name is only visible to registered members.

  Teststufe Anwendungssicherheit

  Hallo zusammen,
  
  ich bin seit 1994, Mal mehr und Mal weniger intenssiv mit dem Thema Testen und Software-Test-Center im Kontakt und habe immer wieder erlebt, wie Standard-Schemas eingeführt bzw. erweitert und optimiert wurden, oder wie manche Test-Trends gestorben sind.
  
  Es würde mich interessieren, in wie fern das Testen der Anwendungssicherheit (automatisiert und/oder manuell) sich als Teststuffe etabliert hat.
  Wie erlebt ihr das in der Praxis?
  
  Testet ihr eure Anwendungen nach Aspekten der Anwendungssicherheit?
  
  Verlangen das eure Kunden?
  
  Empfiehlt ihr das euren Kunden? Wenn ja: geht es dabei um automatisierte Penetration Tests oder verfolgt man komplexere Strategien (z.B. vom Code-Review bis hin zu Application Firewalls und regelmässige PenTests)?
  
  Hintergrund: in meiner Firma speziell und auch bei unseren Kunden wird immer mehr Wert darauf gelegt. Dabei sind allerdings die Konzepte und die Erwartungen der Kunden sehr unterschiedlich.
  
  Ich würde es sehr begrüßen, wenn wir uns gemeinsam, durch diesen Austausch, bei der Orientierung unterstützen.
  
  Schönen Gruß und Danke für eure Beiträge,
  
  • 23 Jan 2006, 11:31 am
  Despina Leonhard wrote: > Hallo zusammen, > > ich bin seit 1994, Mal mehr und Mal weniger intenssiv mit dem Thema > Testen und Software-Test-Center im Kontakt und habe immer wieder > erlebt, wie Standard-Schemas eingeführt bzw. erweitert und optimiert > wurden, oder wie manche Test-Trends gestorben sind. > > Es würde mich interessieren, in wie fern das Testen der > Anwendungssicherheit (automatisiert und/oder manuell) sich als > Teststuffe etabliert hat. > Wie erlebt ihr das in der Praxis? > > Testet ihr eure Anwendungen nach Aspekten der Anwendungssicherheit? > > Verlangen das eure Kunden? > > Empfiehlt ihr das euren Kunden? Wenn ja: geht es dabei um > automatisierte Penetration Tests oder verfolgt man komplexere > Strategien (z.B. vom Code-Review bis hin zu Application Firewalls und > regelmässige PenTests)? > > Hintergrund: in meiner Firma speziell und auch bei unseren Kunden > wird immer mehr Wert darauf gelegt. Dabei sind allerdings die > Konzepte und die Erwartungen der Kunden sehr unterschiedlich. > > Ich würde es sehr begrüßen, wenn wir uns gemeinsam, durch diesen > Austausch, bei der Orientierung unterstützen. > > Schönen Gruß und Danke für eure Beiträge,
• 
  Marc Rieger    Premium Member

  The company name is only visible to registered members.

  Re: Teststufe Anwendungssicherheit

  Hallo,
  bei uns gibt es für sicherheitskritische Anwendungen Screenings ab der QS-Umgebung. Um in Produktion zu gelangen werden solche Anwendungen dort manuell und automatisiert nach Sicherheitslücken abgeklopft. Erst wenn diese Tests negativ ausfallen (keine Beanstandungen) erhält die Anwendung eine sicherheitstechnische Betriebserlaubnis und darf in Produktion installiert und für den Kunden freigegeben werden.
  In Produktion werden regelmässig automatisch weitere Tests durchgeführt, meist mit Nessus.
  Unser SAL:
  - Entwicklung
  - Integrationstests
  - Qualitätssicherung
  - Produktion
  
  Gruss, Marc Rieger
  
  • 02 Mar 2006, 11:54 pm
  Marc Rieger wrote: > Hallo, > bei uns gibt es für sicherheitskritische Anwendungen Screenings ab > der QS-Umgebung. Um in Produktion zu gelangen werden solche > Anwendungen dort manuell und automatisiert nach Sicherheitslücken > abgeklopft. Erst wenn diese Tests negativ ausfallen (keine > Beanstandungen) erhält die Anwendung eine sicherheitstechnische > Betriebserlaubnis und darf in Produktion installiert und für den > Kunden freigegeben werden. > In Produktion werden regelmässig automatisch weitere Tests > durchgeführt, meist mit Nessus. > Unser SAL: > - Entwicklung > - Integrationstests > - Qualitätssicherung > - Produktion > > Gruss, Marc Rieger
• 
  Despina Leonhard

  The company name is only visible to registered members.

  Re 2: Teststufe Anwendungssicherheit

  Hallo,
  
  danke für die Antwort!
  Genau das ist meine Vorstellung, dass Sicherheitstests, besonders Web Application Security Tests im Prozess der Inbetriebnahme eingebunden werden.
  Verwendet ihr für die Sicherheitstests auch WebShields oder Web Application Firewalls, oder wird dieses Segment manuell getestet?
  
  Schönen Tag!
  This post was modified on 07 Mar 2006 at 10:31 am.
  • 07 Mar 2006, 10:23 am
  Despina Leonhard wrote: > Hallo, > > danke für die Antwort! > Genau das ist meine Vorstellung, dass Sicherheitstests, besonders Web > Application Security Tests im Prozess der Inbetriebnahme eingebunden > werden. > Verwendet ihr für die Sicherheitstests auch WebShields oder Web > Application Firewalls, oder wird dieses Segment manuell getestet? > > Schönen Tag!
• 
  Marc Rieger    Premium Member

  The company name is only visible to registered members.

  Re: Re 2: Teststufe Anwendungssicherheit

  Hallo,
  
  da ich diesem Bereich nicht persönlich tätig bin kann ich die Fragen bezüglich des Einsatzes von WAFs und dem genauen Vorgehen leider nicht beantworten. Sorry.
  
  Gruss, Marc Rieger
  This post was modified on 08 Mar 2006 at 01:27 am.
  • 08 Mar 2006, 01:25 am
  Marc Rieger wrote: > Hallo, > > da ich diesem Bereich nicht persönlich tätig bin kann ich die Fragen > bezüglich des Einsatzes von WAFs und dem genauen Vorgehen leider > nicht beantworten. Sorry. > > Gruss, Marc Rieger