Web Application Security Test Automation
Prelegent: Marek Puchalski
Zachodząca w ostatnich latach transformacja procesów wytwarzania oprogramowania idąca w kierunku zespołów zwinnych (pracujących w metodykach agile), wykorzystujących podejście DevOps oraz wdrażających swoje projekty w chmurze, wymaga przemyślenia na nowo wszystkich procesów zapewnienia bezpieczeństwa tworzonych aplikacji. Krótkie sprinty nie pozostawiają już miejsca i komfortu na testy manualne. O ile jednak manualne testy bezpieczeństwa (tzw. pentesty) nie znikną całkowicie, główną osią ochrony stać się muszą testy automatyczne lub półautomatyczne, które muszą zostać zaimplementowane i utrzymywane przez zespół projektowy. To deweloperzy i testerzy muszą teraz umieć odpowiedzieć na pytanie, czym jest bezpieczeństwo w kontekście działania ich systemu oraz które aspekty działania aplikacji stanowią największe ryzyko.
Podczas wykładu odpowiemy na szereg pytań:
- Skąd wynika potrzeba automatyzacji bezpieczeństwa?
- Czym jest bezpieczeństwo aplikacji?
- Skąd brać wymagania dotyczące bezpieczeństwa aplikacji i jak mogą nam w tym pomóc projekty społeczności OWASP takie jak OWASP ASVS?
- W którym miejscu w CI/CD pipeline umieścić testy bezpieczeństwa?
- Jak wyglądają przykładowe testy bezpieczeństwa zrealizowane jako zwykłe testy jednostkowe, a także w oparciu o podejście BDD Security?
- Jak zautomatyzować testy bezpieczeństwa aplikacji przy wykorzystaniu forward proxy takich jak OWASP ZAP, Burp czy też IBM AppScan?