Когда вы думаете о тестах, у безопасности приложений есть два общих значения:
Безопасность приложения в расчете на надежность кода. Когда вы думаете о том, как изменения могут влиять или не влиять на бизнес-логику, лежащую в основе кода, а не только на то, будет ли код выполняться или нет. Эти тесты чаще встречаются под названием поведенческих тестов, поскольку вы тестируете, как приложение будет работать в соответствии с поведением ожидаемого пользователя.
Безопасность приложения в расчете на безопасность приложения. Это тесты этического взлома, которые вы упомянули. Они несут ответственность за поиск пробелов и уязвимостей в приложении, поэтому вы можете исправить это и снизить риск атаки.
Что касается роли QA , я бы предположил, что, когда интервьюер спрашивает вас о том, как вы выполняете тесты безопасности, он спрашивает о том, как вы тестируете, работает ли приложение, как ожидается бизнес-логикой.
В противном случае, если кто-то сказал, что вам необходимо пройти тесты этического взлома для позиции QA, есть некоторые вещи, которые было бы полезно узнать:
Существуют инструменты для выявления уязвимостей и выполнения тестов DAST и SAST, таких как:
Хотя, я не думаю, что этот тип навыков строго необходим для роли QA.