Testiautomaation käyttöalueen laajentaminen tietoturvatestaukseen voi tarjota suuria hyötyjä. Kysymys kuuluukin, kuinka voimme sisällyttää tietoturvatestauksen normaaliksi osaksi ohjelmistokehitystä?

Vaikka automaatiosta on tulossa yhä yleisempää myös tietoturvatestauksessa, työkalujen tukema manuaalinen analyysi ja penetraatiotestaus ovat edelleen yleisimpiä keinoja tunnistaa haavoittuvuuksia. Toisaalta taas julkaisusykliin liittyvässä regressiotestauksessa automaatio on ainoa vaihtoehto, jotta palaute muutoksista saadaan nopeasti. Testiautomaation hyödyt saadaan laajamittaisemmin käyttöön, kun tavallisten regressiotestauksesta tuttujen työkalujen käyttöä laajennetaan myös tietoturvatestaukseen.

Tietoturvatestaus osana ohjelmistokehitystä

Toiminnallisten testien automatisoinnista on tullut normaali toimintatapa ohjelmistokehityksessä. Voimme määritellä organisaation laajuisia laatuportteja julkaisuille, sillä automaatio tukee meitä tarvittavien mittareiden luomisessa. Sen lisäksi suorituskyky- ja luotettavuustestaus sallivat meidän laajentaa automatisoitujen testien kattamaa aluetta ei-toiminnallisiin ominaisuuksiin ja näin ollen auttaa esimerkiksi paremman käyttökokemuksen saavuttamisessa.

Tietoturvatestaus on myös osa nykyaikaista ohjelmistokehitysprosessia. Ohjelmistojulkaisuiden tietoturvan varmistamisesta on tullut yhä tärkeämpää. Sen vuoksi tarvitaan mm. uhka-analyyseja ja haavoittuvuusskannauksia. Voimme analysoida jokaisen löydöksen käyttäen riskeihin pohjautuvia menetelmiä: altistaako havaittu ongelma asiakkaan tai loppukäyttäjän uhalle, jota ei ole osattu ennakoida? Mitkä ovat riskit liiketoiminalle, jos ongelma pystytään korjaamaan vasta seuraavassa julkaisussa?

Havaitut tietoturvaan liittyvät ongelmat voidaan lisätä vikatietokantaan, jotta korjauksien etenemistä voidaan seurata. Kun uusi julkaisukandidaatti on saatavilla ja korjauksen toimivuus todettu, tapaus voidaan sulkea. Kuten toiminnallistenkin vikojenkin tapauksessa, löydetyistä aukoista pitäisi mahdollisuuksien mukaan kehittää automatisoituja regressiotestitapauksia. Tällaiset testit auttavat meitä varmistamaan, että jo kertaalleen ratkaistut ongelmat eivät tulevaisuudessa ilmene uudelleen, kun luodaan uusia ominaisuuksia, järjestelmän arkkitehtuuri uudistuu tai avainhenkilöt ovat jo vaihtaneet toisiin tehtäviin.

Oikeiden työkalujen käyttäminen tietoturvatestauksen automatisoinnissa

Vaikka suosittelenkin ottamaan tietoturvatestejä osaksi normaalia regressiotestausta, näiden testien jatkuva laajentaminen voi osoittautua hankalaksi. Valitettavasti tietoturva-analyysien tulokset, jotka ovat usein ulkopuolisten asiantuntijoiden aikaansaannosta, unohdetaan liian helposti kriittisimpien aukkojen korjaamisen jälkeen.

Uskon, että suurempi haaste on kuitenkin tietoturvakulttuurin luominen tiimeihin. Sellaiset tiimit, jotka ymmärtävät tietoturvan merkityksen, osaavat paremmin ottaa sen huomioon jo aikaisessa vaiheessa ja tehdä myös sen varmistavia regressiotestejä (”shift left security”). Testauksen toteuttamisessa auttaa myös paljon, jos samoja työkaluja voidaan käyttää erilaisiin testeihin. Tämä auttaa integroimaan tietoturvatestauksen saumattomammin osaksi julkaisusykliä, josta on hyötyä lopulta koko yritykselle.


Qentinel Pace™ - robottipohjainen ohjelmistotestaus varmistaa saumattoman tietoturvatestauksen. Jos haluat tietää miten, näytämme mielellämme:

HANKI PACE

Aiheet:

tietoturvatestaus