分类目录归档：安全测试

供应链安全测试：SBOM、镜像扫描和依赖升级

2025年5月记录，分类「安全测试」。这篇更像工作笔记，记录的是一次问题拆解和复用清单。

检查范围

供应链安全不是扫描一下就结束。测试侧要关注依赖来源、漏洞等级、是否可利用、升级后兼容性。

整理时我特意把输入、动作、观察点和风险拆开，方便后面补用例。

syft packages docker:app:latest -o cyclonedx-json > sbom.json
grype sbom:sbom.js

2024年5月记录，分类「安全测试」。这篇按当时的测试现场整理，重点放在目标、动作和可复用的检查点。

越权测试不能只换一个 token 试试。比较稳的方式是先画角色、租户、组织、数据归属矩阵，再逐类覆盖。

我当时想确认的不是工具能不能跑，而是这个点能不能稳定地变成测试资产。

A租户用户 -> A租户订单: 允许
A租户用户 -> B租户订单: 403
禁用账号 -> 任意

2023年5月记录，分类「安全测试」。内容按测试执行视角整理，尽量把背景、操作和验收口径讲清楚。

OWASP API Security Top 10 2023 我不会逐条照搬，而是把它映射到当前系统的用户、租户、对象和接口类型上。

对测试来说，最后要落到可复现、可验证、可交接，文章也是按这个思路写的。

API1: 对象级授权
API4: 资源消