Pytanie:
Czy dopuszczalne jest, aby wykwalifikowany profesjonalny pentester w niezamierzony sposób usuwał lub modyfikował wrażliwe dane w produkcji podczas pentestu?
kinunt
2013-07-18 00:08:20 UTC
view on stackexchange narkive permalink

Dzisiaj spotkałem się z sytuacją, w której osoba odpowiedzialna za bezpieczeństwo firmy zażądała od pentestującej firmy wycofania klauzuli w umowie, która mówi, że:

„w czasie pentestu istnieje możliwość niezamierzonego usunięcia lub zmodyfikowania wrażliwych danych w środowisku produkcyjnym z powodu wykonania niektórych narzędzi, exploitów, technik itp. ”

Klient oświadcza, że ​​nie zaakceptuje tej klauzuli i że uważa, że ​​żadna firma nie zaakceptuje tej klauzuli. Uważa, że ​​podczas pentestu można uzyskać dostęp do informacji, ale nigdy ich nie usunąć ani zmodyfikować.

Wiemy, że wykonanie niektórych narzędzi, takich jak roboty sieciowe lub pająki, może usunąć dane, jeśli aplikacja internetowa jest bardzo źle zaprogramowana, więc taka możliwość istnieje zawsze, jeśli tego typu narzędzia będą używane.

Wiem, że takie są warunki klienta i należy je zaakceptować, ale:

Można wykwalifikowany i profesjonalny pentester zawsze zapewnia, że ​​żadne dane nie zostaną usunięte ani zmodyfikowane w produkcji podczas pentestu?

Czy naprawdę można przeprowadzić pentest, jeśli pentest ma ograniczenia, że ​​dane nie mogą być tworzone ani modyfikowane?

Czy pentestująca firma powinna zawsze dołączać klauzulę zrzeczenia się odpowiedzialności na wszelki wypadek?

Przypomina mi to historię wtf, w której Google zaindeksował stronę, która miała link, który zresetował całą bazę danych po kliknięciu. Google po prostu poszedł na ślepo i zindeksował stronę, skorzystał z linku i wyczyścił bazę danych. Nie ma sposobu, aby zagwarantować, że pentester nie zrobi tego samego przez przypadek.
Kto wie, na jaką bombę logiczną możesz się natknąć. To CYA przeciwko złośliwym pułapkom i okropnym błędnym konfiguracjom, które były ukrytą katastrofą czekającą na usunięcie danych, gdy ktoś po raz pierwszy uruchomił ciąg domina. Zasadniczo klauzula „Przykro mi, że nie masz działających kopii zapasowych, ale ten problem poprzedza mój oddech w Twoim systemie”.
@MarkHenderson Chciałbym zobaczyć stronę ze szczegółami tego przypadku ... :)
@woliveirajr - http://thedailywtf.com/Articles/The_Spider_of_Doom.aspx i http://thedailywtf.com/Articles/WellIntentioned-Destruction.aspx - moja pamięć nie była na miejscu, ale wystarczająco blisko
Z pewnością klient nalegający na usunięcie tej klauzuli nie jest nierozsądny, ale raczej ** nie rozumie, dlaczego ta klauzula istnieje **. Myślą, że * ty * zrobisz coś, aby złamać ich system podczas testowania. Wyjaśnij im tylko, że jeśli * ich * kod zawiera jakiś okropny błąd, który usuwa bazę danych po kliknięciu "zapisz", to oczywiście nie możesz być za to pociągnięty do odpowiedzialności. Jak to często bywa, brzmi to jak błąd komunikacji między ludźmi, a nie kwestia techniczna.
Jeśli klient ma działającą (przetestowaną) procedurę tworzenia kopii zapasowych / przywracania (z mechanizmem sprawdzania integralności plików), to nie ma się czym martwić, prawda?
@tom-oconnor Co więcej, lepiej stracić dane w kontrolowany i przygotowany sposób dzięki niedawnym kopiom zapasowym niż w przypadkowym momencie, gdy jakiś haker przedarł się przez nie. Jeśli utrata danych podczas pentestowania jest choćby problemem, jest to prawdopodobnie najmniejsze zmartwienie firmy. I w tym świetle zgadzam się ze stwierdzeniem, że jest to bardziej problem komunikacyjny niż techniczny.
Oto inny sposób spojrzenia na to. * Przypuszczenie * testu penetracyjnego jest takie, że jeśli atakującemu powiedzie się, system jest * uszkodzony *; gdyby było * poprawne *, atak nie powiódłby się. Jeśli atak się powiedzie, system jest * uszkodzony *; jeśli system jest zepsuty, to * jego zachowanie po podaniu danych wejściowych niekoniecznie jest zgodne z jego specyfikacją *, a jeśli jego zachowanie nie jest przewidziane przez specyfikację, to * kto wie, co się stanie *?
Czy to profesjonalne, że Twoja firma nie sklonowała systemów, które planujesz przetestować - choćby ze względu na fakt, że mogą one wpłynąć na Twój system, ale także na jakim etapie są zmiany w rozwoju?
skieruj klienta na tę stronę
@RyanMcDonough To jest naprawdę praktyczne tylko w przypadku małych celów. Aby przeprowadzić ogólny test infrastruktury XYZ Co, gdy są one wystarczająco duże, aby mieć wiele szaf serwerowych, klonowanie byłoby nie tylko zbyt drogie; ale prawdopodobieństwo, że wszystko nie będzie skonfigurowane identycznie w kopii, wzrośnie, zmniejszając ważność wyników.
@DanNeely Nawet jeśli sklonujesz system, czy to, co sklonowałeś, nie dotarło przez sieć do skrzynki w oryginalnym systemie za pośrednictwem zakodowanego na stałe adresu sieciowego, który sklonowałeś wraz z resztą? Tak, możesz odizolować system, ale w tym momencie zmieniłeś środowisko tak radykalnie, że twoje testy nie testują tego, co testujesz.
Osiem odpowiedzi:
#1
+146
Rory McCune
2013-07-18 00:20:53 UTC
view on stackexchange narkive permalink

Nie ma możliwości, aby pentester mógł w 100% zapewnić, że dane nie zostaną zmodyfikowane lub usunięte, w taki sam sposób, w jaki nie mogą zapewnić, że nie wpłynie to na dostępność systemu (przewróciłem systemy za pomocą portu skan lub pojedynczy znak). jak mówisz, robot sieciowy może usunąć dane z systemu, jeśli został źle skonfigurowany.

Powiedziałbym, że należy powiedzieć coś w stylu „dołożymy wszelkich starań, aby upewnić się, że testowanie nie wpływa negatywnie na systemy objęte przeglądem i nie będą podejmowane celowe próby modyfikacji lub usunięcia danych produkcyjnych ani negatywnego wpływu na dostępność systemów objętych zakresem. Jednak przy wszystkich testach bezpieczeństwa istnieje ryzyko, że wpłynie to na systemy, a klient powinien upewnić się, że kopie zapasowe wszystkich danych i systemów są na miejscu przed rozpoczęciem przeglądu "

Przewróciłem serwer, umieszczając znak Unicode w polu w aplikacji internetowej klienta. Nigdy nie możesz mieć 100% pewności, że Twoje działania nie wpłyną na czas pracy - nieoczekiwane wektory awarii są wszędzie.
Miałem członków zespołów testujących konta dostarczone przez klienta, ponieważ konta „testowe” przypadkowo dokonują płatności międzynarodowych :-) Zdarza się. Zachowaj klauzulę!
Nie wiem zbyt wiele o bezpieczeństwie, ale spotkałem wiele pomieszanych baz kodu i zgadzam się na tę wiadomość.
To i komentarz @MGOwen, spróbuj wyjaśnić klientowi uzasadnienie. Jeśli nadal nie chcą tego przyjąć, prawdopodobnie najlepiej nie przyjmować pracy. Nie znaczy to, że wiem dużo o pentestowaniu, ale możesz spróbować zrobić trochę zastrzyku SQL, aby uzyskać dostęp do systemu i ten mig rujnuje dane, jeśli nie jest wystarczająco ostrożny.
Jako tester penetracji, zasadniczo i ostatecznie zamierzasz spędzać dużo czasu na podsłuchiwaniu bitów systemu z pytaniem „co się stanie, gdy wprowadzę * te * nieoczekiwane dane * tutaj *?” I chyba że ponownie wolno analizować sam kod w tym samym czasie nie ma sposobu, aby * absolutnie * zagwarantować *, że odpowiedź * nie * okaże się "system sam się zepsuje, usuwa bazę danych zaplecza i uszkadza kopie zapasowe przed ucieczką przez granicę do Tijuany z budżetem firmy ”.
#2
+93
Tom Leek
2013-07-18 00:46:26 UTC
view on stackexchange narkive permalink

Pentester, który twierdzi, że nigdy nie zmieni danych produkcyjnych, jest albo plugawym kłamcą , albo uważa się za znacznie bardziej kompetentnego niż w rzeczywistości, lub zdecydowanie nie zamierza nic robić (to jedyny pewny sposób, aby niczego nie złamać). W każdym razie nie chcesz pracować z tym facetem.

Potencjalny klient, który uważa, że ​​wykwalifikowani pentestry nigdy nie uszkodzą testowanych systemów i który odmawia współpracy z pentestrami, chyba że dokładnie to obiecuje, to klient, który 1. mieszka w krainie baśni jednorożca i 2. prawie na pewno będzie prowadził interesy tylko z plugawymi kłamcami. W pewnym momencie czeka go pewne rozczarowanie, prawdopodobnie w dość spektakularny sposób.

Jest to imperatyw moralny , a także podstawowa samoobrona dla pentesterów, aby zawarli klauzule dotyczące możliwego zerwania umów. Ryzyko szkód ubocznych jest realne, nawet jeśli pentester jest bardzo dobry w tym, co robi (ponieważ szkoda nie pochodzi z tego, jak dobry jest pentester , ale z tego, jak zły jest testowany system i wdrożone ). Pentester może zostać pozwany za nie ostrzeżenie klienta.

Klient, który odmówi zawarcia umowy z taką klauzulą, ma inną nazwę: „kłopoty”. Zwykle lepiej jest całkowicie pominąć takich klientów.

Klient +1 dziwnie pachnie, wycofaj się. Jest to w 100% standardowy język stosowany we wszystkich zadaniach pentestowych.
Wydaje mi się, że przeczytał to w ten sposób: „Możemy robić z twoim systemem, co nam się podoba, i zgłaszać„ wypadek ”, gdy coś schrzanimy”, a nie „Nie chcemy być pozwani z powodu nieprzewidywalnej sytuacji”. Ale tak, UNIKAJ.
@deworde Wszelkie wyjaśnienia dotyczące warunku, takie jak „podejmiemy wszelkie rozsądne kroki, aby uniknąć zepsucia systemu”, mogą zostać później pozwane, ponieważ ich kroki nie są wystarczająco uzasadnione. W zależności od wpływu szkód, które wyrządzą, może z łatwością przekroczyć wysokość ich rachunku i wymagać znacznego wzrostu ich opłaty (np. „Dlaczego test pióra kosztuje 1 milion dolarów?” „Ponieważ tego oczekujemy od Ciebie może nas pozwać, jeśli zgodzisz się nie pozywać, obowiązuje zniżka 900 tys.).
@Matt Zgadzam się. To nieporozumienie, a nie niezdolność do przekazania. Jeśli jest to standardowy język, umowa naprawdę * nie * może mówić nic innego bez ogromnego ryzyka i zerowych korzyści. W najgorszym przypadku wyślesz wiadomość, że jesteś gotów negocjować swoją winę.
#3
+36
user2213
2013-07-18 00:34:22 UTC
view on stackexchange narkive permalink

Uwaga: nie jestem profesjonalnym pentesterem. Pracuję w oprogramowaniu do tworzenia kopii zapasowych.

Czy wykwalifikowany i profesjonalny pentester może zawsze zapewnić, że żadne dane nie zostaną usunięte lub zmodyfikowane podczas produkcji podczas pentestu?

Powiedziałbym, że nie, nie ma absolutnych gwarancji, że coś nie zostanie przypadkowo usunięte, gdy próbujesz coś zepsuć. Jednak to powiedziawszy, pentester powinien generalnie próbować wykorzystywać systemy w sposób, który nie wymaga usuwania danych. Na przykład, chociaż ulubioną instrukcją SQL dla wszystkich jest:

  select * from users where userid = 'dave'; DROP ALL TABLES;  

Bardziej odpowiedzialnym podejściem byłoby po prostu wyświetlenie wszystkich danych:

  wybierz * spośród użytkowników, gdzie userid = '2' LUB 1 = 1;  

Generalnie, wyobrażam sobie, że większość testerów pisaków opracowała serię exploitów tej odmiany, która nie jest destrukcyjna, jak ta ostatnia.

Wstrzykiwanie JavaScript w różnych formach może użyj prostego kodu potwierdzającego koncepcję, takiego jak alert ("wykorzystałem cię"); zamiast prawdziwego kodu exploita.

Czy pentest może być naprawdę wykonany, jeśli zespół pentestowy ma ograniczenie, że dane nie mogą być tworzone ani modyfikowane?

Powiedziałbym, że nie. Jak pokazałbyś dowód koncepcji przechowywanego XSS bez możliwości przechowywania swojego XSS w bazie danych? To niezmiennie spowoduje powstanie nowych danych.

Istnieje wiele przykładów, w których exploit wymaga zapisania danych, nawet jeśli tylko tymczasowo.

Czy pentestująca firma powinna zawsze dołączać klauzulę o zrzeczeniu się odpowiedzialności na wszelki wypadek?

Ponownie poszerzam tutaj swoją wiedzę osobistą, ale powiem tak.

To jednak wraca do sedna sprawy zatrudniania firmy testującej pióra. Celem testu piórkowego jest zidentyfikowanie zagrożeń, które mogą wymagać oceny i naprawienie ich, zanim złoczyńcy je znajdą.

Mam również nadzieję, że każdy dobry pentester zapyta o to, a każdy dobry biznes pomyślałby o przywróceniu po awarii na jakąś skalę. Z pewnością powinieneś mieć kopię zapasową w jakiejś formie w swoich systemach, aby móc przywrócić ją w razie potrzeby. Potrzebujesz tego nie tylko na wypadek, gdyby pentest zniszczył twoje dane, ale na wypadek, gdyby naprawdę zostałeś naruszony przez złoczyńców, w takim przypadku możesz chcieć przywrócić niezanieczyszczoną kopię zapasową.

Myślę tutaj tylko o tym, że nawet `alert (" wykorzystałem cię ");` może zepsuć rzeczy, jeśli istnieje jakiś "użyteczny" skrypt, który używa systemu ostrzegania i działa na łańcuchach zaczynających się np. „e”
@medivh prawdopodobnie tak. Miałbyś nadzieję, że dana firma dostarczy pentesterom jakąś dokumentację na temat ich systemu, aby chłopaki wiedzieli, jak wykonać coś, co go nie psuje ...
@medivh To nawet nie musi być takie skomplikowane.Większość zautomatyzowanych narzędzi do testowania interfejsu użytkownika zawiedzie, jeśli nie będą w stanie obsłużyć nieoczekiwanych alertów.
#4
+15
Relaxing In Cyprus
2013-07-18 12:36:19 UTC
view on stackexchange narkive permalink

Dość regularnie przeprowadzam testy penetracyjne w swoich witrynach.

Po pierwszym uruchomieniu zatrzymałem witrynę i zalałem serwer pocztowy spamem.

Wtedy przerobiłem kilka formularzy, aby pozbyć się spamu i pozwoliło to zidentyfikować i naprawić wszystkie inne znane dziury, bez zatrzymywania serwera.

Byłem szczerze zdumiony przebiegłością wyzyskiwaczy , Musiałem zatkać dziury, których nie brałem pod uwagę.

Ale przed uruchomieniem testów wydawało mi się, że moje strony są bezpieczne. Postępowałem zgodnie z najlepszymi praktykami, jeśli chodzi o projektowanie stron internetowych, ale nadal były problemy.

Teraz, patrząc z perspektywy czasu, doceniam, że testowanie może wpłynąć na moją witrynę produkcyjną.

Planuję więc z wyprzedzeniem.

Najpierw upewniam się, że wszystko jest zarchiwizowane.

Jeśli witryna jest naprawdę, naprawdę krytyczna, utworzę kompletny klon, a następnie najpierw przetestuj ten klon.

Z doświadczenia dowiedziałem się, że jeśli tworzysz klon, utwórz go na innym serwerze. W przeciwnym razie, gdy klon się zatrzyma, serwer nadal będzie wpływał na twoje środowisko produkcyjne.

Ale nadal przeprowadzam testy. Jak myślisz, w jaki sposób hakerzy uzyskują dostęp do witryn? Prawdopodobnie sami przeprowadzają takie testy w nieautoryzowany sposób. Tak więc dopóki Twoja witryna nie będzie chroniona, zawsze będzie podatna na ataki. O wiele lepiej jest najpierw wykonać testy, zachowując środki ostrożności (tworzenie kopii zapasowych itp.), Niż zbierać elementy, kiedy najmniej się tego spodziewasz.

Tak, jest to dopuszczalne, ale jest również przewidywalny i powinien być odpowiednio zarządzany.

możesz umieścić testowy klon na ograniczonej maszynie wirtualnej, jeśli sprzęt jest napięty. w ten sposób, gdy grinduje do zatrzymania, miażdży tylko z 25% procesora, a prod nadal ma 75 do gry
nigdy nie powinieneś (pisząc) testować na serwerze produkcyjnym (zwirtualizowanym lub nie) aplikacja VM może mieć błędy (np. wyciek pamięci w przestrzeni jądra)
Jeśli tworzysz klon na oddzielnym serwerze przy użyciu kopii zapasowej, którą wykonałeś, wystawiasz również na próbę swoje umiejętności odtwarzania po awarii.
#5
+2
jmoreno
2013-07-21 07:30:00 UTC
view on stackexchange narkive permalink

Odpowiedź na Twój tytuł brzmi „Tak” i klient musi to wiedzieć!

To zastrzeżenie nie dotyczy CYA, jest to zamiast tego istotne informacje, których klient potrzebuje, aby się przygotować pentest. Nie jestem testerem pisaków, ale IMO nie powinno to być zakopane na ostatniej stronie drobnym drukiem, ale powinno znajdować się na pierwszej stronie umowy, z przodu i pośrodku i dużą, pogrubioną czcionką. Firma klienta musi przygotować się na coś złego - należy wykonać kopie zapasowe, stworzyć i wdrożyć plany przywracania, itp. Nieodpowiedzialne jest przekonanie klienta, że ​​test pióra jest wolny od ryzyka. Z definicji próbujesz wywołać niewłaściwe zachowanie, bez kontroli nad tym, jak daleko to zepsute zachowanie się rozszerza lub do jakiego stopnia.

Odpowiedzi na 3 pytania w treści Twojego posta to: (1) nie, ty nie może dać żadnych gwarancji co do kodu innych osób (2) ograniczona forma testowania za pomocą pióra może być wykonana bez CELOWEGO modyfikowania lub tworzenia danych (jeśli wykluczysz jakiekolwiek logowanie, które może wykonać aplikacja), ale wyniki nie będą kompletne, a na koniec 3) ZAWSZE powinieneś zamieszczać to zastrzeżenie - tak samo z korzyścią dla klientów, jak dla Ciebie.

Tester zasadniczo szuka luki do wykorzystania i nie może w żaden sposób zagwarantować, że nie znajdzie błędu które szkodzą. Rozważ typowe zastrzeżenie dotyczące oprogramowania w przypadku czegoś, co NIE jest przeznaczone do napotkania lub tworzenia błędów, a następnie zastanów się, że prawdopodobnie nie napisałeś kodu, który testujesz ...

Zatem odpowiedź powinna brzmieć „Tak”, prawda? Ponieważ jest dopuszczalne (i oczekiwane) modyfikowanie danych produkcyjnych podczas pentestu.
Zawarcie umowy, w ramach której nie wolno celowo modyfikować danych produkcyjnych w niestandardowy sposób, byłoby czymś niezwykłym, ale nie nieodpowiedzialnym. Z technicznego punktu widzenia niemożliwe jest zagwarantowanie, że nieznana baza kodu nie spowoduje uszkodzeń podczas NORMALNEGO użytkowania, nie mówiąc już o nietypowym użyciu związanym z testowaniem za pomocą pióra. Widzę, że powinienem nieco rozszerzyć moją odpowiedź.
#6
+1
Francesco Manzoni
2013-07-19 14:40:35 UTC
view on stackexchange narkive permalink

Prawdopodobnie możesz to zapewnić tylko pod pewnymi warunkami. Oczywiście Pentest jest kompromisem między wieloma czynnikami, niektóre czynniki są bezpośrednio antagonistami dostępności systemu, a jednym z nich jest głębia analizy. Niektórzy ludzie mogą argumentować, że pentest bez wyzysku nie jest pentestem.

W przeszłości musiałem testować kilka systemów SCADA, które są dość znane ze swojej kruchości i zapewniam, że można dostroić większość narzędzi, aby były wystarczająco delikatne. Na przykład wyłączenie odcisku palca NMAP i zwiększenie opóźnienia między pakietami bardzo pomogło.

Jednak aby osobiście odpowiedzieć na twoje pytanie, NIGDY nie zgodzę się na umieszczenie klauzuli gwarantującej to mojemu klientowi. Daję mu moje słowo, ale z biznesowego punktu widzenia nie możesz być odpowiedzialny, jeśli ich aplikacja zepsuje się sama podczas twojego pentestu.

+1 za pomysł, że pentest bez wyzysku nie jest pentestem
kierownictwo postrzega po prostu testy penetracyjne jako „drogie”, a ocenę podatności jako „tanie”. Jeśli zapłacą ci wystarczająco, to ** ZAWSZE ** pentest.
#7
+1
user29367
2013-08-11 01:16:33 UTC
view on stackexchange narkive permalink

„Czy wykwalifikowany i profesjonalny pentester może zawsze zapewnić, że żadne dane nie zostaną usunięte lub zmodyfikowane podczas produkcji podczas pentestu?”

Nie.

„Czy naprawdę można przeprowadzić pentest, jeśli zespół pentestowy ma ograniczenie, że dane nie mogą być tworzone ani modyfikowane?”

Nie sądzę. .

„Czy pentestująca firma powinna zawsze dołączać klauzulę zrzeczenia się odpowiedzialności na wszelki wypadek?”

Umowa wewnętrzna będzie wyglądać znacznie inaczej niż umowa strony trzeciej umowa. Nie znam żadnej firmy zajmującej się testami piórkowymi, która nie ma między innymi ograniczeń ubezpieczenia odpowiedzialności cywilnej ...

#8
-3
atdre
2015-04-19 12:20:23 UTC
view on stackexchange narkive permalink

Testy penetracyjne powinny być zgodne z metodologią, w której testy, które mogą spowodować szkody, są wykonywane tylko w scenariuszach nieprodukcyjnych, takich jak środowisko przejściowe lub laboratoryjne.

Prawdziwym problemem nie jest usuwanie ani modyfikacja danych, ponieważ testerzy mogą pozostawić te przypadki testowe w systemach nieprodukcyjnych. Prawdziwym problemem jest pozostawienie nowych danych, takich jak dzienniki błędów lub zbędne błędne pliki, które ujawniają poufne informacje, a nawet istnienie samego pentestu, w tym danych po stronie klienta testera penetracji.

Inny problem W testach penetracyjnych powszechne jest ujawnianie innych danych klientów, służbowej poczty e-mail lub zakładek przeglądarki podczas pokazów lub screencastów.

Testy penetracyjne są wykonywane wiele razy w środowisku produkcyjnym i nie można zagwarantować, że test, który wydaje się być nieszkodliwy, usunie coś, na przykład z powodu zachowania sieci.
Mogę; może nie możesz
Myślę, że nie przeczytałeś pozostałych odpowiedzi ani prawidłowej odpowiedzi. Jak możesz przewidzieć, że przycisk z napisem „Wyszukaj” usuwa informacje z bazy danych, jeśli programista zaprogramował tę funkcję, a Ty nie masz dostępu do kodu źródłowego?
Różnica między niektórymi ludźmi na tym forum, którzy przestrzegają litery prawa, a mną, który kieruje się duchem prawa - polega na tym, że mogę reinterpretować znaczenie z pytań i „kwestionować pytanie”. Można debatować. Dobrze jest mieć różne perspektywy. To jest świat, w którym chcę żyć. Wszystkie moje testy piórkowe to pełna wiedza. Zawsze najpierw otrzymuję kod źródłowy.
Programiści są nieskończenie pomysłowi w wymyślaniu sposobów uczynienia swoich programów kruchymi. Na przykład jedno oprogramowanie, z którym pracuję (system bazy danych) może zostać zawieszone przez proste, półotwarte skanowanie portów, co wiąże się z ryzykiem utraty danych.
Naprawdę nie sądzę, aby ktokolwiek z ludzi, którzy skomentowali w odpowiedzi na mój post lub oddali mi głosy w dół, w ogóle rozumiał problemy tutaj. Nie mają doświadczenia. Testowanie musi się odbyć. Testowanie posuwa sprawy do przodu. Najlepszym rozwiązaniem jest przetestowanie niektórych rzeczy w wersji produkcyjnej, a innych w fazie deweloperskiej lub testowej. Zrozumienie, co może złego w obu przypadkach, jest zenem testów bezpieczeństwa i testów piórkowych.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...