QA y Ciberseguridad juntos? yeah! CYPRESS & ZAPROXY unidos como nunca (Rodrigo Jiménez)
CATEGORÍA
E2E tests, Ciberseguridad (DAST), tools.
NIVEL
Intermedio
INTRODUCCIÓN
Te imaginas que el trabajo empleado en hacer test e2e pudiera ser aprovechado para la detección de vulnerabilidades de Seguridad. Pues sí, así es, al elaborar tu plan de pruebas e2e para testear tu aplicación generarás acciones que invoquen a los objetos y operaciones de ésta. Entonces, podemos hacer que el framework de ejecución de pruebas e2e (en este caso Cypress) lance éstas a través de una herramienta de análisis de vulnerabilidades en tiempo de ejecución (en este caso OWASP ZAP) obtendremos posibles agujeros de seguridad en nuestra aplicación.
CONTENIDO
En esta master class, Rodrigo comenzará con una introducción sobre la tipología de pruebas e2e y cómo desarrollar y lanzar un ejemplo de éstas sobre una aplicación con frontal mediante la herramienta Cypress.
Tras conocer el funcionamiento de esta herramienta de testing, Rodrigo dará a conocer los diferentes tipos de análisis de seguridad que habría que tener en cuenta en el ciclo de vida de desarrollo de software profundizando en el análisis de seguridad «DAST» (Dynamic Analysis Security Testing), el cuál se realiza en tiempo de ejecución de nuestra aplicación..
En este punto, hablará sobre la herramienta de seguridad «OWASP ZAP» la cuál utilizaremos como intermediario entre el lanzamiento de tests e2e por parte de Cypress y nuestra aplicación para obtener un informe con las vulnerabilidades y posibles agujeros de seguridad que pueda haber sobre nuestra aplicación.
APRENDERÁS
Tras la master class, apenderás:
- Conceptos básicos de testing E2E
- Desarrollar y lanzar tests E2E con Cypress
- Conceptos básicos sobre los tipos de análisis de seguridad del SSDLC
- Utilizar OWASP ZAP para obtener vulnerabilidades de seguridad
GRUPO DESTINO
Testers, desarrolladores, secdevops, product owners
PREREQUISITOS
Tener instalado cypress (https://www.cypress.io/) y owasp zap (https://www.zaproxy.org/download/)
Rodrigo Jiménez Valverde
Mis inicios fueron desarrollando nuestras propias herramientas para lanzar los tests en .Net, pasando por ejecución manual de pruebas utilizando herramientas de gestión de la calidad hasta llevar los proyectos de forma autónoma.
Di un paso adelante en otras compañías para diseñar e implantar toda la estrategia de calidad en los procesos y proyectos de éstas; hasta que hace unos años llegué a mi empresa actual donde formo parte de un equipo cross (SecDevOps) y además de implantar y diseñar los procesos de calidad para todos los equipos de seguridad que cuelgan de nosotros, realizo tareas y operaciones DevOps.