Web Application Security Test Automation

Marek Puchalski_remakePrelegent: Marek Puchalski
Zachodząca w ostatnich latach transformacja procesów wytwarzania oprogramowania idąca w kierunku zespołów zwinnych (pracujących w metodykach agile), wykorzystujących podejście DevOps oraz wdrażających swoje projekty w chmurze, wymaga przemyślenia na nowo wszystkich procesów zapewnienia bezpieczeństwa tworzonych aplikacji. Krótkie sprinty nie pozostawiają już miejsca i komfortu na testy manualne. O ile jednak manualne testy bezpieczeństwa (tzw. pentesty) nie znikną całkowicie, główną osią ochrony stać się muszą testy automatyczne lub półautomatyczne, które muszą zostać zaimplementowane i utrzymywane przez zespół projektowy. To deweloperzy i testerzy muszą teraz umieć odpowiedzieć na pytanie, czym jest bezpieczeństwo w kontekście działania ich systemu oraz które aspekty działania aplikacji stanowią największe ryzyko.

Podczas wykładu odpowiemy na szereg pytań:

  • Skąd wynika potrzeba automatyzacji bezpieczeństwa?
  • Czym jest bezpieczeństwo aplikacji?
  • Skąd brać wymagania dotyczące bezpieczeństwa aplikacji i jak mogą nam w tym pomóc projekty społeczności OWASP takie jak OWASP ASVS?
  • W którym miejscu w CI/CD pipeline umieścić testy bezpieczeństwa?
  • Jak wyglądają przykładowe testy bezpieczeństwa zrealizowane jako zwykłe testy jednostkowe, a także w oparciu o podejście BDD Security?
  • Jak zautomatyzować testy bezpieczeństwa aplikacji przy wykorzystaniu forward proxy takich jak OWASP ZAP, Burp czy też IBM AppScan?
Tagged under:

Program konferencji

TwitterFacebookLinkedInGoogle+