与其他软件一样，Web运用法式也可能会遭遇一些进击，也有一些破绽。是以，平安测试也是新网站宣布的一项主要环节。在收集的扶植和宣布进程中，这一点经常被疏忽，但这是全部进程中异常主要的一步，它可以赞助我们发明一些不测毛病、毛病功效和用户体验问题，也可以赞助我们发明一些网站可能导致体系遭遇进击的破绽。将平安测试加到尺度临盆宣布进程中，可以带来许多利益，并且它发生的运用法式信息多于尺度压力测试和用户流量监控所能发生的信息。有很多优良的书本介绍若何给Web运用法式“添乱”，或者给软件施加一些随机行动，以肯定它是否可以或许顺遂处置。这个进程必定不克不及疏忽。

平安测试应当成为所有新产物宣布的一个主要部门，并且不该该过后才想到。它应当在运用法式可以测试时就启动，并且要在全部开辟进程中连续进行，直到产物胜利宣布为止。渗入渗出测试是平安工程师的最重要工作，他的职责就是检测Web运用法式的破绽和缺点，而且要在最终用户拜访新运用法式之前发明平安问题。 Metasploit 1框架或 Webscarab项目就是很合适在渗入渗出测试进程应用的软件。

1.Web运用扫描对象

有很多贸易或开源Web运用破绽扫描对象推出了贸易版本，我没法指出哪一些是最好的对象，因为到本书印刷出书时它们可能就已经由时了，所以这里我只是建议最好能应用一下这种对象。这些破绽扫描对象会像搜刮引擎一样抓取网站或Web运用法式的内容，从而剖析它的构造，然后在网站上运用各类常见的破绽扫描算法。它们不仅可以或许肯定最新开辟的网站或运用是否有常见破绽，并且也可以或许给运用法式创立一些场景和应用模式，由它们发生一些不测行动，为软件技巧团队发明运用中须要改良的处所。是以，扫描对象不仅是一个平安对象，也是一个质量包管对象。任何新软件都必需经由破绽扫描，然后能力交付或供给给公共用户拜访。

2.集成到QA进程中

幻想情形下，破绽扫描应当主动化并集成到QA进程中。在将新版本代码宣布到Web情况之后，网站制造质量包管测试套件应当履行一些破绽扫描。如许可以形成一种平安测试文化，而不是在疑惑有平安问题时才履行测成。且，女全测试不该该专属于组实中果位工程师的职责，全部公司都应当懂得履行平安测试的原因与利益，如许它才会成为一件惯例工作。将平安测试添加到主动化尺度质量包管进程中，就可以让所有技巧团队像检讨日记文件或办事器机能指标一样习惯去履行平安测试。