法律合规类的安全测试....是啥，看起来好像没什么深度啊。。。

最近在几个群也听到好多人在讨论这个话题。个人认为安全和测试不算一个领域的东西，虽然有些内容是交叉的。要想做好安全测试，需要很多专业技能的。目前大多的测试人员只能做些简单的扫描。

1、安全领域的测试有很多细分的，常见的有渗透测试之类的。做得好的话会有前途，但也很难，因为基本没有太固定的套路，需要充分发挥想象力。

2、法律合规类的测试，指的是比如等保认证之类的测试么？这个好像不属于常见的 安全 领域。而且就我目前看，绝大部分测试团队里面是不会有专门做这类安全测试的岗位的，因为需求频次低，找第三方合作更划算。信息安全相关的团队大多也会分布在运维或者独立部门，不大会在质量部门。

3、做测开还是开发，从天花板来说，大部分情况下开发天花板更高，需求也更大（一个项目可以没有测开，但不可以没有开发），但技术深度也要求更高（高并发、分布式，对现在的服务端开发属于基础知识了）。相比之下，测开，尤其是纯平台开发的测开，需求量相对并不大。所以如果光从行业需求来说，开发比测开更好。但工作不只是看行业的，也得看自己兴趣和自己的情况，这块不好给意见，建议楼主自己思考下对自己而言，选择测开或者开发的利弊来决定吧。

安全合规那种主要还是功能测试？

法律合规类的安全测试只是皮毛，学完安全知识进度只有 0.01%。。。把注入、xss、csrf 那些玩透最多只能算初级。

若是属于第三方检测机构，可以往安全测试方面发展，如果是规模不太大，没有专门的安全测试岗位的互联网公司，就不要想太多了。
对于没有专门安全测试岗位的互联网公司，所谓的安全测试，也只有在产品即将发布上线前的几天才会用到，平日里还是干原来的活。一般这样的安全测试，也是简单的使用工具扫描及对法规要求的部分人工审查，不会太过深入。当然，若是有兴趣可以在这过程中研究下工具使用以及一些渗透方面的东西，后续换工作往安全测试方面的岗位去。
安全测试的前景，做好了也挺不错，主要看个人能力，有在安全平台上提交过漏洞的，一般能发展不错，单纯会工具使用，和简单的渗透，最终可能跟功能测试差不了太多，因为总会让兼顾功能业务方面的工作。