侵入テストを成功に導く10のヒント(前編)|経営者としての視点を忘れるべからず - CIO Online
ペネトレーション・テストはビジネス上の目標を達成するために行うべきで、手当たり次第にセキュリティ・ホールを探しても意味はない。本稿では、ペネトレーション・テストを効果的に実施するためのヒントを紹介する。関連トップページ: セキュリティ管理 IT運用管理 侵入テストを成功に導く10のヒント(前編) 経営者としての視点を忘れるべからず 2011/05/24 ペネトレーション・テストはビジネス上の目標を達成するために行うべきで、手当たり次第にセキュリティ・ホールを探しても意味はない。本稿では、ペネトレーション・テストを効果的に実施するためのヒントを紹介する。 ペネトレーション・テスト(脆弱性がないかどうか検査するための疑似侵入テスト)は、社内で実施したり、外部の専門家に委託するケースもある。実施のきっかけはさまざまで、規制や監査にやむを得ず対応することもあれば、または自社のセキュリティ強化を図
Togetter - 「巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終」
コミュニケーションが生まれるツイートまとめツール
リスク・ベース・テストの効果と限界
ソフトウェアテストを改善する手法として、リスク・ベース・テストが注目されている。 ソフトウェアの開発サイクルが短くなっている現在では、短時間にいかに効率良くテストを行い、ソフトウェアの品質を高められるかが焦点になっている。テスト不足による品質低下に悩む人にとって、リスク・ベース・テストは効果的かつ魅力的な解決策である。 だが、リスク・ベース・テストが改善するのは、テスト・プロセスである。品質低下の原因がテスト・プロセスではなく、テスト項目そのものにある場合は、リスク・ベース・テストを導入しても、品質を高めることはできないだろう。
グーグルはあれほど多くのソフトウェアのテストをどのように行っているのか?
グーグルは検索エンジンだけではなく、メールソフトのGmail、オフィス系ソフトのGoogle Apps、WebブラウザのChromeやOSのAndroidなど、さまざまな種類と規模のソフトウェアを開発しています。 それらはどのようにテストされ品質管理されているのでしょうか? グーグルのブログGoogle Testing Blogに、Test Engineering DirectorのJames A Whittaker氏による「How Google Tests Software」がポストされ、その概要を伝えています。 3つのチームからなるEngineering Productivity Whittaker氏はまず、グーグルにはテストの専門部隊はいないのだ、という組織構造の説明から始めます。 There isn't an actual testing organization at Googl
「バグ数には興味ないのだよ」――顧客が喜ぶテスト仕様書とは?
「バグ数には興味ないのだよ」――顧客が喜ぶテスト仕様書とは?:誰にでも分かるSEのための文章術(11)(1/2 ページ) 「提案書」や「要件定義書」は書くのが難しい。読む人がITの専門家ではないからだ。専門用語を使わず、高度な内容を的確に伝えるにはどうすればいいか。「提案書」「要件定義書」の書き方を通じて、「誰にでも伝わる」文章術を伝授する。 メーカーが機械を納入する際は、耐久試験や性能試験などの結果を添付して、問題がないことを顧客に確認してもらいます。同様にシステム開発においても、テスト結果を顧客に提示してシステムに問題がないことを確認してもらう必要があります。 今回と次回の2回にわたって、「テスト仕様書」の書き方と表現のポイントを説明します。 今回は、「顧客にとって良いテスト仕様書」とは何か、「顧客にとって良いテスト仕様書」にするためには何を記述すればよいのか、テスト仕様書のおおまかな
プログラマーにとってのテストの重要性
優れたエンジニアはテストコードをとても重視している、という話を本人たちから直接聞く機会が最近ありました。 オープンソース会の重鎮として知られる楽天のよしおかひろたかさんは「下手なドキュメントを書くくらいだったらテストコードを書くべきだ」「ソフトウェアはテストコードと本体のコードの両方が必要。テストコードがないのは未完成品」と、テストコードの重要性を話してくれました。「全部書き直したいような(他人の)ソースコードを見たときでも、テストを書いていると心が落ち着いてくる(笑)」(吉岡氏)。 JavaのフレームワークSeaserの開発者などで知られるひがやすを氏は、コードレビューのときに「テストコードを見る」ことがほとんどなのだそうです。「テストコードがちゃんと書けていればOK」(ひが氏)。 これは1月30日に行われた「Source Code Reading Workshop Japan 2010
アート・オブ・アプリケーション パフォーマンステスト
世の中に存在するシステムは、多かれ少なかれパフォーマンス上の問題を抱えています。問題の解決には、パフォーマンステストを適切に実施し、ボトルネックを浮き彫りにすることが有効です。本書は、精度の高いパフォーマンステストを求める人のための技術書です。パフォーマンステストの論理的根拠、効果的なテスト構成要素など基礎的なことから、パフォーマンステストのプロセス、結果の解釈、またトランザクション例など発展的な内容まで、パフォーマンステストを包括的に解説します。ミッションクリティカルなソフトウェア開発者、テスター、プロジェクトマネージャ必読の一冊です。 訳者まえがき はじめに 1章 なぜパフォーマンステストをするのか? 1.1 パフォーマンステストとはなにか:エンドユーザの視点 1.1.1 パフォーマンス計測 1.1.2 パフォーマンス標準 1.1.3 インターネット効果 1.2 劣悪なパフォーマンス:
テストを軽視する者どもに告ぐ:アルファルファモザイク
■編集元:プログラマー板より「テストを軽視する者ども」 1 仕様書無しさん :2008/06/28(土) 19:49:20 何だよ、8割方終わった風な顔で、「コーディング終わりました。後はテストするだけです。」 って... コーディングが終わってやっと3割終わったかどうかってところだろが。 コーディングが終わってからが本番だっちゅーの。テスト仕様書に従い、テストデータ用意して、 正常系、異常系含めて、抜かりなく全網羅テストすること。これがどれだけ大変なことか。 本当に理解してんのか? コーディングが終わってやっとスタートラインに立ったぐらいの気持ち でいろよ、ってくヘラヘラしやがって。 こういう、テストを軽視する輩共が、プログラミングという作業を軽んじ、工数見積りを誤り、 徒に製造を急かし、バグの混入率を間接的に高めているということに気づかんのか。 どんな優秀な奴だっ
浪漫の求道者:GoogleTestがかなりいけてる その1
[GoogleTest1.3.0を使ってみた] Google C++ Testing Framework http://code.google.com/p/googletest/ Googleのテストフレームワーク「GoogleTest」に去年の年末くらいから興味を持ち始めて使ってみた。 かなりいけてるのに日本語解説が少ないので、やった事をいろいろと書き出す。 なにができるのか・マルチプラットフォーム対応 Windows(VC)、Cygwin(gcc)、Linux、MacOS、WindowsCE、Symbian・・・ ・テストコードの自動発見 RUN_ALL_TESTS() で勝手にTEST(Hoge, hoge)と書いたコードを探索して実行してくれる (もちろん任意のテストだけ実行する、しないのオプションもあり) ・豊富なAssertion 失敗(ASSERT)と警告(EXPECT)
[cucumber][テスト] テストデータツールまとめ(2009春夏)
● [cucumber][テスト] テストデータツールまとめ(2009春夏) 調査結果 知見 みんな YAML での Fixture 作成には辟易 (except DHH) DHH は初心者 BDD の流れから全体の fixture でなく必要なデータを作成するのが主流 データ作成ツールは Machinist がすこぶる評判いい (現在のベスト) 集合的なデータが必要な場合は Dataset を使い、その中から Machinist を使う Fake データの作成は Faker gem がこれまたすこぶる評判よし Machinist の発音がわからない 今、cucumber + webrat + mozrepl + firefox + xvfb + rspec + machinist + faker が俺の中で激熱! 参考 http://github.com/aslakhellesoy/cu
携帯テストの基本をおさえる
携帯サイトのテストの実施方法 本連載では、携帯サイトの開発において避けては通れないテストの方法について3回にわたって説明していきます。 携帯サイトのテストはPC向けのWebサイトに比べ、一般的に面倒であると言われることが多いです。それは携帯サイトを見る携帯端末によってさまざまな仕様があり、挙動や見え方が変わってしまうことに起因します。 PC向けのWebサイトの場合、基本的にIE(Internet Explore)、Mozilla Firefox、Safari、Opera辺りで確認しておけば問題ないでしょう。しかし携帯サイトの場合、キャリア特有の仕様はもちろん、端末の仕様などを考慮する必要があります。 そのため携帯サイトのテストは、基本的に各キャリアの各端末の実機をそろえて、1ページずつ確認していくほかありません。ただしすべてのページを常に多くの端末でチェックすることは開発効率から考えると現
大きな数に対する態度 - レジデント初期研修用資料
ちょっと前、若い人が原因不明の発熱で入院して、診断がつかなかったことがある。 目に見える症状は「発熱」だけだったから、熱源調べたり、血液の培養出したり、 考えて、調べて、「これ」という原因がはっきりしないまま、何日か経った。 その方は、外来でCTを撮られてて、わずかな胸水があったから、フォローの意味でCTが再検された。 夕方のカンファレンスで「原因がはっきりしない人がいる」なんて、その患者さんの画像が供覧されて、 誰かが「肝臓縮んでるよね…」なんて指摘した。 そういう視点で検査データを見直すと、たしかに日を追うごとに肝機能が悪くなっているように見えて、 この時点でうちの施設では白旗上げて、大学にお願いすることになった。 大学では、入院したその日に原因分かって、すぐに治療が始まった。 検査の力 どこの病院にも「スクリーニング採血」という考えかたがあって、入院した患者さんは、 原因にかかわらず
「テストをすべきなのは知っているが,現実にはできない」という現場の状況をいかに打破するか,気鋭のソフト開発者とテスト技術者がパネル討論
「テストをすべきなのは知っているが,現実にはできない」という現場の状況をいかに打破するか,気鋭のソフト開発者とテスト技術者がパネル討論 Developers [Test] Summit 2008(デブサミTest) 「建前ではなく実際にテストを普及させるにはどうすればいいのか」。2008年4月23日,東京・九段で開催されたテストに特化したソフトウエア開発者向けカンファレンス「Developers [Test] Summit 2008(デブサミTest)」で「【徹底討論】テストなんていらない?!-テストを,どこまでやるべきか?」というパネル・ディスカッションが開催された。 司会を務めたのはタワーズ・クエスト プログラマ兼取締役社長であり,テスト駆動開発(TDD)の日本での第一人者である和田卓人氏。同氏に,オープンソース・プロジェクト「Seasar」のチーフコミッタであるひがやすを氏,テストの
tokuhirom blog
Blog Search when-present<#else>when-missing. (These only cover the last step of the expression; to cover the whole expression, use parenthesis: (myOptionalVar.foo)!myDefault, (myOptionalVar.foo)?? ---- ---- FTL stack trace ("~" means nesting-related): - Failed at: ${entry.path} [in template "__entry.ftlh" at line 3, column 25] - Reached through: #include "__entry.ftlh" [in template "entry.ftlh" at
セキュリティテストには攻撃者の視点が肝心
ソフトウェアセキュリティエンジニアとトレーナー、両方の経験から言うと、物事を理解する早さは人によって大きく違うものだ。だが、本来優秀な人がなかなか実力を発揮しないことも多い。どんなバグでも突き止められるベテランのテスターが、セキュリティテストにはなかなか習熟できない、といったことがよくある。わたしはこの数年、世界最大級のソフトウェアベンダー数社で開発者チームのトレーニングに従事する中で、彼らの行動を調べ、優れたセキュリティテスターに必要なものを明らかにしようとしてきた。その結果分かったことを紹介しよう。 セキュリティテスターに必要な3つのスキル わたしは、セキュリティテスターは皆、以下の3つの専門スキルをベースとして持たなければならないという結論に達した。 優れた想像力 多くの場合、セキュリティテスターとして欲しい情報は、すべて手に入るわけではない。例えば、SQLインジェクションの脆弱性を
コンソールベースのHTTPテスティングツール·WBox MOONGIFT
Webベースでアプリケーションを開発することが多くなってきた。そこで必要になるのがテスティングツールの存在だ。レスポンスヘッダなどを手軽にチェックできるソフトウェアとして、こちらを紹介しよう。 今回紹介するオープンソース・ソフトウェアはWBox、HTTPテスティングツールだ。 WBoxではコマンドラインとともに、サーバを指定するだけでレスポンスの値や速度を簡単にチェックできる。また、ヘッダ情報の表示やHTMLをダンプする事も可能だ。 他にもGzip圧縮を指定してリクエストを行ったり、HTTP1.0ベースを指定する事もできる。クッキーやリファラーの指定も簡単だ。便利なのが、DNS設定を指定して、hostsファイルを変更する事無く指定IPアドレスへ指定サーバとしてリクエストを行う機能だ。 さらに独自のHTTPサーバを内包しており、localhostでの動作確認も容易だ。 HTTPサーバの動作確
Vulnerability Assessment, When do we stop looking?
CEO of Bit Discovery, Professional Hacker, Black Belt in Brazilian Jiu-Jitsu, Off-Road Race Car Driver, Founder of WhiteHat Security, and Maui resident. This is a fair and increasingly common question in web application security. Especially considering that we never know how many bugs (or vulnerabilities) actually exist in a piece of code. This is also why I tend to approach security as an attempt
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
A/Bテストがビジネスルールを変えていく(あるいは、ぼくらの人生すらも?)
http://japan.internet.com/release/9884.html
False-negatives, oh how I hate thee