Security testing — это проверка того, насколько система защищает данные, доступ и доверие пользователей. Для обычного QA здесь важен не пентест-уровень, а умение регулярно замечать грубые уязвимости и небезопасные решения.
На что смотреть в первую очередь
- →Контроль доступа и object-level authorization.
- →Безопасность сессий, токенов и чувствительных данных.
- →Корректная обработка ошибок без утечки внутренней информации.
- →Валидация входных данных и защита от базовых атак.
Где QA особенно полезен
- →Находит несоответствие между UI-ограничением и серверной защитой.
- →Проверяет негативные сценарии, которые команда пропускает в happy path.
- →Приносит системные сигналы безопасности ещё до отдельного security review.
Базовый security-фокус QA не заменяет security engineer, но заметно повышает общий уровень защищённости продукта.