Softwerkskammer

 

Continuous Security Testing

In unserem Unternehmen haben wir folgende automatisierte Tests aktiviert

  1. Functional Testing
  • Unit Tests
  • Für die End2nd Tests benutzen wir Serenity-BDD
  1. Non Functional Testing
  • Für Code Analysen benutzen wir SonarQube
  • Für Performance Tests benutzen wir Gatling

Aber was ist mit den Security Tests und warum bleiben die auf der Strecke liegen?
Es ist einfach, wenn man folgenden Fragen beantworten kann und hier sind die Antworten darauf:

  1. Was muss ich testen? Die Atwort darauf liefert uns die OWASP und ihre Top-Ten Liste
  2. Welche Opensource Tool kann ich benutzen? Die Antwort darauf liefert uns ebefalls die OWASP:
    OWASP Zed Attack Proxy
  3. Wie die Kombination der beiden Antworten 1 und 2 aussehen soll ? Darauf liefert uns das BDD-Security Framework die Antwort: bdd-security

**Structure das frame work
**

  • unter bdd-security-master\zap liegt der OWASP Zed Attack Proxy tool
  • unter bdd-security-master\src\test\resources\drivers liegen die selenium web driver
  • unter \bdd-security-master\src\test\resources\features liegen die cucumber feature file beschreiben den test.
  • unter \bdd-security-master\src\test\java\net\continuumsecurity\examples\ropeytasks liegt die selenium navigation class Bsp.
  • unter \bdd-security-master\ liegt die config.xml

Wie benutze ich das frame work ?

  • \bdd-security-master\ config.xml  editieren und anpassen
    
  • Die selenium navigation class implementieren   unter \bdd-security-master\src\test\java\net\continuumsecurity\examples\ropeytasks  liegt ein Bsp.
    

Start parameter

  • gradlew.bat -Dcucumber.options="--tags @iriusrisk-cwe-89" scan für sql injection
  • gradlew.bat -Dcucumber.options="--tags @iriusrisk-cwe-79” scan für XSS cross site script
  • gradlew.bat -Dcucumber.options="--tags @app_scan" scan für alle Top 10

Mit dem BDD-Security Framework wird der Traum von Continuous Security Testing wahr.

Viel Spass beim Security Testing
Djelloul Belarbi (senior software quality engineer bei E2open)