A propósito de testes de segurança automáticos

Roger Grimes:

Os scanners automáticos só podem encontrar o que foram pre-programados para procurar — nem mais, nem menos. Mas nós, humanos, somos bons a identificar detalhes de coisas fora do lugar, aparentemente inocentes, e a seguir um caminho por intuição até à raiz do problema. Quando me pedem para executar um teste de vulnerabilidades automático e um teste manual (o que acontece na maioria das vezes), encontro sempre coisas mais interessantes e mais críticas com a minha própria análise forense.

in For better security, ditch the automatic tools.

Não fui eu que escrevi isto mas podia ter sido. Faço minhas as palavras do Roger. Penso que os testes automáticos têm um papel a desempenhar, que são úteis, mas que não podem ser considerados o supra-sumo da barbatana. Não são. E não dispensam os testes manuais, personalizados, que consomem mais tempo, é verdade, mas que podem fazer a diferença entre um resultado sem significado [dos testes automatizados] e um resultado substantivo, que pode conduzir, efectivamente, à identificação e correcção de vulnerabilidades importantes.