5. 安全测试与审计

文档摘要

安全测试与审计安全测试与审计在构建和维护安全的Web应用时，仅仅依赖于开发阶段的安全编码实践是不够的。系统上线前和运行过程中，必须通过系统的安全测试来发现潜在的漏洞，并通过安全审计来确保安全策略、流程和配置的有效性及合规性。安全测试与审计是保障Web应用韧性的重要环节，它们从不同角度评估应用的安全状态。本章将深入探讨几种核心的安全测试方法（漏洞扫描、渗透测试、SAST、DAST、IAST）以及安全审计与合规性的概念和实践。 5.1 漏洞扫描 (Vulnerability Scanning) 定义：漏洞扫描是一种自动化工具驱动的安全评估方法，用于快速识别Web应用、服务器或网络中已知的安全漏洞。