Webアプリケーション開発者がセキュリティに関連するテストを行う場合、どのようなテストケースを作成して、どのような形でテストするべきなのだろうか。だいぶ前からかなり悩んでいるのだけれど今のところ答えが出てこない。
セキュリティ専門会社が行うようなテストを要求するのは無理な話だと思うけれど、ある程度のレベルまでは網羅されたテストを行わないと、テストとして不十分となってしまう。自社内でセキュリティ検査を行っている会社があるならば、どの程度のレベルのテストをどのような形で行っているのか知りたいと思う今日この頃。
現実的な線では検出精度が高いセキュリティ検査ツールを導入する形に落ち着くのかなぁ。と思っているけれど、いまいち感はぬぐいきれない・・・