Можно ли запускать тесты на рабочих серверах?

Сейчас читаю книгу, в которой не рекомендуют запускать DAST (dynamic application security testing или динамическое тестирование безопасности приложений) и другие сканеры безопасности на рабочих серверах, потому что это может привести к тому, что сервера станут недоступны. Дело в том, что сканеры могут создавать большой трафик и выполнять действия, которые повлияют на рабочие сервера. 

Вместо этого рекомендуется использовать тестовые сервера, на которых программисты гоняют свои тесты. Надеюсь в больших компаниях есть такие. 

Вроде бы всё звучит логично, но… а что если хакер запустит DAST или любой другой сканер против ваших рабочих серверов? Если вы сами не протестируете и не убедитесь, что ваши рабочие сервера способны выдержать DAST, то это сделает хакер.

DAST необходимо гонять как на тестовых серверах, так и на реальном рабочем окружении. У меня тестирование рабочего окружения происходило ночью, когда на сайте был минимальный легитимный трафик. Утром я мог прийти и увидеть в логе ошибок новые проблемы, которые выявлял сканер. Проблемы безопасности он не находил, но вот ошибки, особенно Null Exception регулярно вылетали. 

Гоняйте сканеры на рабочем окружении, чтобы убедиться, что ваш сайт способен справляться с такой нагрузкой, иначе это сделают хакеры. 

---

Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым

---