Soy parte de un equipo al que se le ha pedido que haga una prueba de penetración en una aplicación que no sea GA o incluso en una versión candidata todavía. Creo que cualquier resultado de la prueba de la pluma, positivo o negativo, sería inválido ya que el código subyacente podría cambiar drásticamente entre la prueba y la disponibilidad general. El punto de vista de la organización de desarrollo es que han solucionado algunas vulnerabilidades en la próxima versión y desean verificar que sea cierto y determinar si se han introducido nuevas vulnerabilidades.
Mis preguntas:
- ¿Existen normas o pautas para lo que constituye una prueba de penetración válida?
- ¿Existen prácticas recomendadas o guías sobre el software pentesting de nivel alfa / beta que no haya afectado a GA?
NOTA: Estoy buscando pautas sobre qué hace válida una prueba de lápiz o qué acciones lo invalidan.