JCON 2021

Die Testpyramide von Mike Cohn ist den meisten Entwicklern bekannt und wird innerhalb der testgetriebenen Entwicklung in Projekten eingesetzt. Aber beinhaltet die Testpyramide auch Prüfungen der Anwendungssicherheit? Kontinuierliche Anwendungssicherheit wird immer wichtiger, vor allem im Kontext der agilen Entwicklung und Continuous Delivery. Das heute noch praktizierte Muster der Penetrationstests kurz vor dem Produktivgang funktioniert nicht mehr. Stattdessen muss die Sicherheit für jedes Inkrement immer wieder aufs Neue überprüft werden. Aus diesem Grund werden wir in diesem Talk die gesamte Testpyramide aus der Sicherheitsperspektive betrachten. Wir werden sehen, wie man das Sicherheitsniveau in Anwendungen verbessern kann, indem man effektive Sicherheitstests auf jeder Ebene der Pyramide hinzufügt. So ist es möglich, einen großen Teil der OWASP Top 10 Sicherheitskategorien automatisch abzudecken. Dies wird anhand von Live-Demos mit automatisierten Tests u.a. für Authentifizierung, Autorisierung, Eingabevalidierung und SQL-Injections auf Basis einer mit Spring Boot und Java implementierten Backend-App veranschaulicht.