工作范围:
安全测试计划与准备
测试计划
与开发团队协调测试时间表,并计划与发布计划一致的测试时间线
使用机构网络安全控制模板定义测试范围和方法
定义安全测试阶段的进入和退出标准
测试环境准备
在指定环境中配置安全测试工具用于 (1) SCR 和 (2) App-VAPT
设置测试数据和测试用例
安全测试执行
安全代码审查 (SCR)
记录代码安全发现,并通过重新测试验证修复
应用程序漏洞评估和渗透测试 (App-VAPT)
- 在生产部署前对新应用程序进行 App-VAPT
重大版本发布的重大变更
影响安全控制的系统增强
使用 DAST 工具进行动态安全测试
文档与报告
记录测试结果,并使用机构网络安全控制模板生成测试报告
提供安全改进建议
维护执行的安全测试证据
跟踪安全发现和修复状态
提供系统安全计划 (SSP) 文档
报告测试进度和覆盖范围
知识转移
记录安全测试程序
与开发团队分享安全测试发现
提供安全修复实施指导
支持安全测试知识共享会议
• *要求**:
拥有 CREST 认证
具备进行 SCR、VA 和 PT 的经验
4-7 年相关经验
必须至少完成 2-3 个公共部门项目 (SCR, VA & PT)
