„Wir sind fertig aber wir warten auf den security test“ - Dies ist eine kontraproduktive Antwort in einem agilen Prozess. In meinem Vortrag werde ich euch Tipps geben, wie man mit dem Problem umgehen kann.
diesmal von Djelloul (senior software quality engineer bei E2open)
Continuous Security Testing
In unsrem Unternehmen haben wir folgende automatisierte Tests Aktivitäten
1- Functional Testing
. Unit Test
. Für die End2nd Test benutzen wir Serenity-BDD http://www.thucydides.info/docs/serenity/
2- Non Functional Testing
. Für code Analyse benutzen wir SonarQube https://www.sonarqube.org/
. Für Performance Test benutzen wir Gatling http://gatling.io/
Was ist mit dem Security Test und warum bleibt er auf der Strecke liegen?
Es ist einfach, wenn man die folgenden Fragen beantworten kann und hier sind die Antworten darauf:
1- Was muss ich testen? Die Atwort darauf liefert uns die owasp https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
2- Welche Opensource Tool kann ich benutzen?Die Antwort darauf liefert uns ebefalls die owasp
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
3- Wie die Kombination der beiden Antworten 1und 2 aussehen soll ? Darauf liefert uns die BDD-Security Framework die Antwort.
https://github.com/continuumsecurity/bdd-security
Mit der BDD-Security Framework wird der Traum Continuous Security Testing wahr .
Viel Spass beim Security Testing