安全测试全面总结-安全体系4-安全测试流程 SDL 这个规范是资深安全工程师一定要学的 是一个公司进行安全建设一定要看的

###

再次系统的整理一下深入一下安全测试

 

 

###

 

 sdl是微软的，

 

 国内普遍试了了这个规范，

因为国内的互联网崛起，急需一个安全规范，阿里是10年引入的，

这是安全测试工程师，必然会提到的一个，sdl

 

###

 

####

 

 

具体的sdl的介绍，去官网看

###

首先要进行安全培训

静态扫描

动态扫描

这是一个资深的安全测试工程师必须要学习的，

 

####

比如要整个公司，进行一个安全的建设，就要参考这个

部门要培训

###

公司提供什么服务，可能会遇到什么样的漏洞，

要确定一个范围，建立一个安全的模型，

然后就基于这个进行攻击了

owasp - zap是非常强大的，使用是非常简单的，

 

 

###

 

总结

安全领域是非常深的，要学习的东西是非常非常多的，

一个漏洞深挖，都可以挖出来很多的东西，每一个漏洞都可以分很多类，

在安全领域，需要很多年的经验，进行挖掘，

安全这个路是非常窄的，一般就是去大公司

扫描只是安全的一部分，还有一部分是安全的防范，预防问题

一般做业务测试的同学，是很难进入这个领域的，因为这个领域的水更深，如果没有专业的导师教你，没有专业的公司教你，其实很难在这个行业有一个很深入的学习的，

建议：如果有这个环境，就努力学，如果没有这个环境，就先不要学这个，先把已经有的工作做好，有机会了再考虑，

 

###

等保

全称是信息安全等级保护测评，是经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。

是一个国家级别的项目，

做一次很贵的，要几十万，但是好处就是你出了安全问题，是有人给你背锅的，这是一个行业的潜规则，

 

 

 

 

 

 

####