Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Инженерные практики QA

Для проведения оценки соответствия по документу войдите в систему.

Список требований

MainStageSDL
Процесс: Тестирование
Практика: Инженерные практики QA
Инициатива: Функциональное тестирование
Описание:
Функциональное тестирование — это процесс проверки соответствия разрабатываемого продукта заданным требованиям. Цель такого тестирования — убедиться, что приложение выполняет все запланированные функции корректно и соответствует ожиданиям. Также тестирование способно выявить уязвимости и недекларированные возможности, которыми может воспользоваться злоумышленник.
Функциональное тестирование не только проверяет общую работоспособность приложения и его основные функции, но также охватывает проверку механизмов безопасности, компонент системы (например, базы данных), API и других важных аспектов.
Во время функционального тестирования осуществляется проверка различных сценариев использования приложения, включая положительные и отрицательные тесты. Особое внимание уделяется проверке механизмов безопасности (аутентификация, авторизация, шифрование). Инициатива учитывает лишь состояние конечного продукта и не затрагивает архитектуру и методы разработки ПО.
Шаги реализации:
Тщательно изучить технические требования и спецификации приложения, чтобы понять его функциональность, ожидаемое поведение и основные сценарии использования.
Составить тестовые кейсы с описанием ожидаемых результатов и критериев успешного тестирования.
Определить инструменты для автоматизированного и ручного тестирования.
Проверить работу всех основных функций приложения в соответствии с тестовыми кейсами.
Проверить работу приложения в нестандартных ситуациях (при неверном вводе данных, отсутствии подключения к сети и т. д.).
Провести проверку механизмов безопасности приложения, включая аутентификацию, авторизацию, шифрование и защиту от SQL-инъекций и межсайтовых скриптингов.
Составить отчет о проведенном тестировании, включая список выявленных ошибок и проблем, а также рекомендации по их исправлению.
Составить документацию (регламент тестирования), описывающую процесс проведения функционального тестирования и тест-кейсы.
Довести информацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИТ
Инструмент: -
Артефакт: Регламент тестирования
Инициатива: Использование автотестов
Описание:
Автотестирование — это процесс автоматизации функционального тестирования [QA1] с помощью специализированных инструментов и заранее подготовленных тест-кейсов. Тестировщики занимаются написанием автотестов, которые проверяют приложение на ошибки, баги и корректную работу функционала. Основными преимуществами автотестирования являются уменьшение времени тестирования, автоматизация ручного труда и минимизация человеческого фактора. Это позволяет тестировщикам сосредоточиться на более сложных задачах, а также увеличить частоту тестирования и обеспечить более стабильное качество продукта.
Однако для наибольшей эффективности автотестирования рекомендуется сочетать его с ручным тестированием. Ручное тестирование позволяет выявить ошибки, пропущенные автотестами, а также оценить юзабилити и общее впечатление от приложения.
Также важно создавать автотесты, которые имитируют злоумышленника и основные атаки (abuse-тесты).
Шаги реализации:
1. Определить цели автотестирования: проверка функциональности, выявление ошибок, обеспечение безопасности, ускорение тестирования и т. д.
2. Определить инструменты для автотестов.
3. Настроить тестовую среду, которая будет использоваться для запуска автотестов.
4. Разработать тестовые кейсы с описанием шагов проверки каждой функции, ожидаемых результатов и критериев успешного тестирования.
5. Написать автотесты на основе разработанных тестовых кейсов.
6. Применить параметризацию тестов для упрощения их написания и увеличения гибкости.
7. Использовать данные из файлов (например, CSV, JSON) для заполнения входных данных тестов.
8. Разработать стратегию автотестирования, определяющую области приложения, которые будут тестироваться автоматически, частоту запуска тестов и т. п.
9. Интегрировать автотесты в CI/CD-конвейер для автоматического запуска тестов при каждом изменении кода.
10. Настроить создание отчетов о результатах автотестирования для анализа и управления качеством приложения.
11. Составить документацию (или дополнить документацию по тестированию), описывающую процесс проведения автотестов, сценарии автотестов, их параметры.
12. Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИТ
Инструмент: Инструменты автотестирования
Артефакт: Регламент тестирования
Инициатива: Граничное тестирование
Описание:
Граничное тестирование фокусируется на проверке поведения приложения при вводе значений, находящихся на границе допустимого диапазона входных данных. Этот метод помогает выявить ошибки, связанные с некорректной обработкой граничных значений, которые могут привести к непредсказуемому поведению приложения, а также создать уязвимости для злоумышленников.
Граничное тестирование особенно важно при проверке функций, которые оперируют числовыми данными, строками, списками и т. п. Ошибки в обработке граничных значений могут спровоцировать переполнение буфера, некорректное форматирование данных, неправильный расчет и другие проблемы, которые могут привести к атакам на приложение.
Граничное тестирование включает в себя проверку трех значений для каждой границы диапазона:
Граничное значение.
Значение перед границей.
Значение после границы.
Проведение граничного тестирования помогает выявить ошибки в логике приложения и увеличить его устойчивость к атакам.
Шаги реализации:
Тщательно изучить техническую документацию приложения, чтобы определить диапазоны допустимых значений для каждого входного параметра.
Определить ограничения для каждого типа данных (максимальная длина строки, минимальное/максимальное значение числа).
Создать список граничных значений для каждого параметра ввода, включая граничное значение, значение перед границей и значение после границы.
Создать тестовые кейсы, описывающие шаги проверки приложения с использованием граничных значений.
Определить ожидаемый результат для каждого тестового кейса, включая корректные результаты и ошибки обработки граничных значений.
Запустить тестовые кейсы с использованием граничных значений и сравнить полученные результаты с ожидаемыми.
Составить отчет о проведенном тестировании, включая список выявленных ошибок и проблем, а также рекомендации по их исправлению.
Интегрировать граничное тестирование в CI/CD-конвейер, переведя данный вид тестирования в формат автотестов.
Составить документацию (или дополнить документацию по тестированию), описывающую процесс граничного тестирования, тест-кейсы и т. д.
Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИТ
Инструмент: Инструменты автотестирования
Артефакт: Регламент тестирования
Инициатива: Тестирование API
Описание:
Тестирование API позволяет убедиться, что программный интерфейс приложения работает корректно и все заложенные функции соответствуют ожиданиям. Проверяется логика работы приложения, взаимодействие его компонент, а также безопасность, производительность и надежность.
Тест API выполняется путем отправки запросов к одной или нескольким конечным точкам API и сравнения ответа с ожидаемыми результатами. Зачастую API поставляется со стороны, поэтому важно тестировать его на уязвимости и проверять механизмы аутентификации. Тестирование API отлично автоматизируется и ложится в CI/CD-конвейер, позволяя проводить постоянное тестирование работоспособности приложения без доступа к его пользовательскому интерфейсу. Реализовать эту инициативу помогают специализированные инструменты тестирования.
Шаги реализации:
Тщательно изучить документацию API (например, Swagger, OpenAPI), чтобы понять его функциональность, концевые точки, методы запросов (GET, POST, PUT, DELETE), параметры ввода и ожидаемые результаты.
Создать тестовые кейсы, описывающие шаги проверки каждой функции API, включить в кейсы ожидаемые результаты и критерии успешного тестирования.
Определить инструменты для автоматизации тестирования API.
Написать тесты на основе разработанных тестовых кейсов.
Применить параметризацию тестов для упрощения их написания и повышения гибкости.
Использовать данные из файлов (например, CSV, JSON) для заполнения входных данных тестов.
Запустить тесты API с помощью выбранных инструментов.
Составить отчет о результатах тестирования, включить в него список выявленных ошибок и рекомендации по исправлению.
Интегрировать тесты API в CI/CD-конвейер
Составить документацию (или дополнить документацию по тестированию), описывающую процесс тестирования API, тест-кейсы и т. д.
Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИТ
Инструмент: Инструменты тестирования API
Артефакт: Регламент тестирования
Инициатива: Покрытие кода
Описание:
Покрытие кода — это метрика, которая показывает, какая часть кодовой базы приложения покрыта различными тестами. Низкое покрытие кода говорит о том, что большая часть кода не тестируется и приводит к риску появления ошибок и уязвимостей.
Покрытие кода можно использовать как метрику оценки стратегии SSDL [SSDL5]. Высокое покрытие кода указывает на высокую эффективность стратегии, а низкое — требует дополнительных мер по тестированию и устранению уязвимостей. Важно отметить, что целевой результат покрытия кода зависит от конкретного приложения и его критичности. 100% покрытие кода зачастую является недостижимым и непрактичным, так как тестирование всех ветвей кода может быть слишком дорогостоящим и долгим. Однако, необходимо стремиться к достаточно высокому покрытию кода, чтобы обеспечить надежность и безопасность приложения.
Шаги реализации:
1. Определить подходы к снятию метрики покрытия кода (для автоматизированного создания отчетов о покрытия можно применять специализированные инструменты).
2. Выбрать инструмент, который соответствует используемому языку программирования и платформе разработки.
3. Интегрировать инструмент анализа покрытия кода с системой сборки или CI/CD-конвейером.
4. Настроить инструмент для создания отчетов о покрытии кода в желаемом формате (HTML, XML или др.).
5. Запустить тесты с включенным инструментом покрытия кода.
6. Получить отчет инструмента, собравшего информацию о выполненных тестами строках кода.
7. Изучить отчет о покрытии кода и определить участки кода, которые не тестируются.
8. Создать новые тестовые кейсы для участков кода, которые не покрыты тестами.
9. Регулярно использовать метрику покрытия кода для корректировки стратегии SSDL.
Зона ответственности: Appsec/ИТ
Инструмент: Инструменты анализа покрытия кода
Артефакт: -

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.