In unserem Unternehmen haben wir folgende automatisierte Tests aktiviert
Aber was ist mit den Security Tests und warum bleiben die auf der Strecke liegen?
Es ist einfach, wenn man folgenden Fragen beantworten kann und hier sind die Antworten darauf:
**Structure das frame work
**
\bdd-security-master\zap
liegt der OWASP Zed Attack Proxy tool\bdd-security-master\src\test\resources\drivers
liegen die selenium web driver\bdd-security-master\src\test\resources\features
liegen die cucumber feature file beschreiben den test.\bdd-security-master\src\test\java\net\continuumsecurity\examples\ropeytasks
liegt die selenium navigation class Bsp.\bdd-security-master\
liegt die config.xml
Wie benutze ich das framework ?
`\bdd-security-master\config.xml` editieren und anpassen
Die selenium navigation class implementieren unter `\bdd-security-master\src\test\java\net\continuumsecurity\examples\ropeytasks` liegt ein Bsp.
Start parameter
gradlew.bat -Dcucumber.options="--tags @iriusrisk-cwe-89" scan für sql injection
gradlew.bat -Dcucumber.options="--tags @iriusrisk-cwe-79” scan für XSS cross site script
gradlew.bat -Dcucumber.options="--tags @app_scan" scan für alle Top 10
Mit dem BDD-Security Framework wird der Traum von Continuous Security Testing wahr.
Viel Spass beim Security Testing
Djelloul Belarbi (Senior Software Quality Engineer bei E2open)