Kategorie: Software Entwicklung

Kurzthesen zur Zukunft des Softwaretestens

Im Rahmen des GFFT Symposiums „Zukunft des Softwaretestens“ wurde ich gebeten meine Thesen einmal als „Kurzvortrag“ kund zu tun (5 Min.)…

Mindset statt Tools

Erst wenn auf allen Ebenen der Wertschöpfungskette verstanden worden ist, dass der Test, die Prüfung zum alltäglichen Geschäft gehört, haben auch wir in der Software „verstanden“. Andere, wie Lebensmittel- und Arzneimittelhersteller wissen um die Schlagkraft des einzelnen Mitarbeiters, darum bilden sie auch extrem gut aus. 

Vorgehen & Methodenkoffer anstatt Werkzeugkoffer

Test-Vorgehen und -Methoden müssen verinnerlicht werden wie das Einschalten des Rechners am Morgen. Es wird nach wie vor zu sehr auf ein Werkzeug geschaut, anstatt die Anforderungen zu ermitteln und dann eine Entscheidung zu treffen. Sicherheitstests sind beispielsweise nicht „On-Top“, sondern Basisbestandteil täglichen Arbeitens. Förderung des Wissens um die neuen Methoden der Sicherheitstests – von Anfang/Anforderung an.

Standards anstatt Abschottung

Schaut man auf die Industrien, wo die Standardisierung der Zubehörteile und tlw. auch der Software weit fortgeschritten ist, ändert sich natürlich die Testtiefe. Die Basis (Standards) werden durch alle gleichermaßen sichergestellt, während die Geschäftsprozesse meistens individuell sind und einer tieferen Betrachtung unterzogen werden. Geschäftsgetriebene Test(Automatisierung) wird so gefördert.

SAHI Pro Fix für Firefox => 86

Wie der Support von SAHI Pro mitteilt, kann man auch Firefox => 86 verwenden zur Testautomatisierung, wenn man denn in

  1. <Sahi Pro>/config/ff_profile_template/prefs.js weg sichert
  2. in selbiger Datei
    user_pref(“privacy.window.name.update.enabled”, false);
    als Zeile einfügt
  3. den Ordner <Sahi Pro>/userdata/browser/ff löscht
  4. und SAHI Pro neu startet

GUI Testautomatisierung –50% Erstellungsaufwände sparen, wenn man Anforderungen analysiert

…war ein Vortrag auf der 43. TAV / SEUH 2019, 21.+22. Februar 2019, in Bremerhaven. Die Präsentation war schon länger auf meiner Seite online. Der Artikel ist nun in den Softwaretechnik-Trends der GI im Band 40, Heft 3 erschienen, aber dort noch nicht online.

Nettes Feedback aus dem Süden gab es auch schon – freut mich, wenn solche Themen auf Interesse stoßen!

Geschäftsgetriebene Testautomatisierung

Es muss nicht immer Selenium sein

Letztes Jahr auf der TACON hielt ich einen Vortrag über das Thema und versprach die Slides online zu stellen.

Asche auf mein Haupt, aber heute habe ich den Vortrag nochmals in kleinem Kreis gehalten und nun komme ich dem Versprechen nach.

Link zu der PowerPoint Präsentation.

TACON20 – geschäftsgetriebene Testautomatisierung

Ich bin ja nicht so der Fan von virtuellen Meetings, da ich gerne mit Menschen zusammen bin und Smalltalks in der virtuellen Welt gehen zwar, aber eben nicht wie IRL.

Trotzdem freue ich mich an der TACON20 teilnehmen zu dürfen, denn man bekommt Einblicke mit was auch die Kolleg*innen zu kämpfen haben und fühlt sich nicht so alleine oder man bekommt sehr gute Anregungen, wie man an bestimmten Stellen weiter machen kann. Dieses Mal hat man mich gefragt, ob ich was beitragen kann und das habe ich gerne getan:

https://twitter.com/Softwareforen/status/1310912432152498177?s=20

Ich habe über geschäftsgetriebene Automatisierung gesprochen und auch eine Demo mit einem mir sehr bekannten Testwerkzeug gezeigt, die nochmals tiefer die Bedürfnisse der non-Coder*innen (also Fachabteilungen) berücksichtigt. Es geht mir um das Vorgehen und nicht um Tools und ich habe eben manchmal den Eindruck, wir wählen Tools aus und stricken dann unsere Prozesse darum.

Mache nicht aus jedem einen Coder!

Da wir in crossfunktionalen Teams arbeiten (werden), müssen wir eine gemeinsame Sprache finden, aber uns auch mit den Werkzeugen wohlfühlen, die wir tagtäglich einsetzen müssen. Superklasse ist, wenn das Tool beides bedienen kann.

Zusammen. Gemeinsam. Voneinander lernen.

Werkzeuge müssen zum Menschen passen und nicht umgekehrt!

Korrektur: IAST basiert auf Java Instrumentation API und nicht dem Metadata Facility Framework (JSR 175)

Ich habe seit Ende 2016, auf Basis von Informationen, die hauptsächlich von Declan O’Riordan stammen, angenommen, die Grundidee der Interactive Application Security Testing Technik beruhe auf dem Metadata Facility Framework, welches unter dem JSR 175 in Java eingeführt wurde. Matthias Rohr hielt am 23. Oktober 2019 einen Vortrag im Rahmen des OWASP Stammtisches in Hamburg und war über meine Nachfrage, warum er dies unerwähnt gelassen habe, sehr verwundert, da er nur die Instrumentierung des Codes als Schlüssel zum Erfolg darstellte, und so habe ich Jeff Williams, Gründer und (Mit-) Erfinder der Technik und eines der IAST-Tools, direkt via LinkedIn angefragt und die korrigierende Aussage am 27. November 2019 bekommen:

„Hi Jogi – we don’t use JSR175. We use standard Java Instrumentation API. That’s the breakthrough innovation that enabled Contrast to exist. We use all our own sensors and analysis engine on top of that API. We had to invent different instrumentation techniques for .NET, .NET core, Node.js, Ruby and Python.“

Jeff Williams, Co-Founder and CTO at Contrast

Nun, an den Ergebnissen der Technik ist in meinen Präsentationen nichts falsch, da ich sie ja auch selber durchgeführt habe, nur ist es eben etwas anderes, wenn man durch Code-Instrumentierung Aktionen auslöst (Dtrace, den Tracer von Sun, den ich immer als Vergleich auf Betriebsystemebene herangezogen habe, macht dieses nämlich auch!) oder „mitlaufende“ Metadaten analysiert werden. Der Code wird zur Laufzeit in dem Application Container „angefasst“ (verändert) während das bspw. bei Ausnutzung der JSR 175 nicht unbedingt notwendig gewesen wäre, da die Metadaten ja „mitlaufen“.

Danke an Matthias Rohr für den Hinweis, der mich dazu nötigte meine unreflektierte Übernahme einer Aussage nun zu korrigieren. Ich werde die Dokumente, sofern sie unter meiner Kontrolle sind, entsprechend anpassen.

Webinar 16.5.: Agile Applikationssicherheit in Echtzeit für DevOps

Security Testing durch Instrumentierung verspricht bei DevSecOps bessere und schnellere Ergebnisse als gängige Scan-Verfahren. Erfahren Sie in Theorie und Praxis, was hinter der Methode steckt.

Scannen Sie noch oder instrumentieren Sie schon? Denn neue Test-Methoden können die Anwendungssicherheit während der Entwicklung und im laufenden Betrieb effizient steigern. Hören Sie nicht nur die Theorie vom Hersteller, sondern auch den Praxisbezug des QA-Spezialisten Jörg Sievers von der Ponton GmbH in Hamburg und seine Erfahrungen mit neuen Security-Testmethoden aus Anwendersicht.

Quellcode zu scannen (Static Application Security Testing, SAST) und Anwendungen dynamisch zu testen (Dynamic Application Security Testing, DAST) sind wichtige Bestandteile funktionierender DevSecOps-Prozesse, generieren jedoch zu viele Falschmeldungen oder liefern nicht ausreichend Ergebnisse. Weiterhin ist Scanning mittels SAST sehr zeitintensiv oder DAST benötigt Experten zum Vorbereiten von Tests und deren Interpretation. Manuelles Pentesting kommt schon aus Zeitgründen nicht jedes Mal zum Einsatz.

Für DevOps, die ShiftLeft-Methodology und mehrfaches Deployment am selben Tag sind Interactive Application Security Testing (IAST) und Runtime Application Self-Protection (RASP) wesentlich besser geeignet. IAST und RASP ermöglichen zeitnah akkurat Ergebnisse für unterschiedliche Anwenderrollen in den jeweils präferierten Werkzeugen.

Wir freuen uns auf Ihre Teilnahme!

Ihre Referenten:

Mirko Brandner                                Jörg Sievers
Senior Sales Engineer /                   QA Specialist 
Technical Evangelist                        Ponton GmbH
Contrast Security                             

Quelle: https://www.security-insider.de/agile-applikationssicherheit-in-echtzeit-fuer-devops-v-41422-12645/


Leserbrief iX 1/19: Beschränkte Informatikersicht

(Testen: Die Zukunft von Softwaretestern – einePrognose; iX 12/2018, S. 88)

Wenn man sich in das Rollenmodell des IT-Testers einarbeitet, das zusammen vom German Testing Board und der Gesellschaft für Informatik entwickelt wurde, sieht man, wie ein expliziter Tester den Informatikern zur Seite stehen kann. Die Vielfältigkeit der dort beschriebenen Aufgaben auf die Entwickler abzuwälzen, wäre so, als würde ein Industriearbeitnehmer alle Aufgaben von der Produktplanung bis zur Auslieferung bei EDEKA selbst erledigen – das ist wohl eher nicht wünschenswert, da man dafür viele unterschiedlichste Kompetenzen in einer Person vereinigen müsste. Der einstige „Bughunter“ ist sicherlich schon länger passé, aber der Tester, der die Entwickler besser macht, ist etwas, was es auch in den nächsten Jahrzehnten noch geben wird. Ich suche immer nach Parallelen aus meinem alten Job in der Lebensmittelindustrie, und da geht nichts, ohne dass nicht die Qualität stimmt. Und weil gerade Querschnittsthemen in der agilen Welt ein Problem darstellen können, hilft der Kommunikator oder „die Bauchspeicheldrüse“ des Projekts (Alex Schladebeck),die die Dinge zusammenführen kann.

Informatiker lernen in ihrer Ausbildung selten etwas über Grenzwerte, Sicherheitstests, Akzeptanztests – so meine Erfahrung in 20 Jahren … und das gerade bei Sicherheit nur auf Sourcecode zu beziehen, kann sehr gefährlich sein, wenn man bspw. SAST-Tools mal anschaut, die viele Entwickler kennen und die beim OWASP-Benchmark gerade mal etwa 30 % aller Sicherheitsfehler finden. Wenn da nicht ein Sicherheitstester noch andere Wege aufzeigt, um Einfallsvektoren zu bestimmen, ist Ihr Start-up schneller gehackt, als Sie die Worte „Sicherheitstests wären gut“ sagen können. Agile Testing / More Agile Testing (zwei Standardwerke, d. Red.) beschreiben die Dinge, die in die agilen Strukturen mittlerweile aufgegangen sind, und beschreiben ziemlich gut, wie sich die Berufswelt des Testers veränderte. Wir würden andere Produkte, wie Autos,Zahnpasta, Brot, Gemüse, nicht kaufen,wenn wir nicht wüssten, dass sich jemand um die versprochene Qualität des Produktes bemüht. Warum manche Informatiker denken, ihre Welt funktioniert anders als die restliche, wird mir ewig ein Rätsel bleiben. Denn die Projekte, die meinten, nicht auf Qualität zu setzen, gibt es oftmals nicht mehr. Die, die wussten, welchen Fehler sie gemacht haben, lehren andere Gründer auf Qualität zu setzen.

JÖRG SIEVERS, AHRENSBURG

DTrace nun frei für Linux

Der wohl beste Kerneltracer der Welt, DTrace, den Sun Microsystems einst für Solaris entwickelte und auch schon bei macOS als „Instruments“ implementiert wurde, findet nun hoffentlich, endlich auch den Weg nach Linux, den Oracle hat die Lizenz auf GPL geändert.

DTrace findet durch einfaches sog. „proben“ der Kernelzugriffe sehr detailiert Performance-Leaks. Der Vortrag von Thomas Nau 2007 auf der OpenSolaris Developer Conference in Berlin (parallel zur German Unix User Group Fachtagung) hat mir seinerzeit die Augen geöffnet. Thomas hält auch heute noch aktualisierte Vorträge (2015) um in DTrace einzusteigen.

OpenSolaris in Germany