Tradicionalmente, o departamento de segurança foi frequentemente visto nas organizações como um bloqueador de inovação porque os requisitos e processos que eles acrescentam diminuem o ritmo dos lançamentos de código. Isto se deve ao escasso envolvimento das atividades de segurança nas atividades iniciais do processo de construção. Se a segurança quer trabalhar melhor com as equipes de DevOps, precisa adotar abordagens que melhorem a segurança e, ao mesmo tempo, capacitem a inovação.
Uma dessas abordagens é o teste de segurança automatizado!
Testes automatizados de segurança
O teste é uma parte importante da maioria dos programas de qualidade de software e é também uma fonte alta de custos, atrasos e desperdícios em muitos programas tradicionais.
Quando o teste leva semanas de trabalho, é impossível liberar o código mais rapidamente do que o tempo que os testes levam para executar.
Isso significa que as alterações de código tendem a ser agrupadas, tornando as versões maiores e mais complicadas, o que exige ainda mais testes, o que requer tempos de teste mais longos em uma espiral negativa.
Os testes automatizados geralmente seguem a pirâmide de testes, onde a maioria dos testes são muito focados, pequenos, é de baixo nível, barata e rápida de executar, simples de automatizar e fácil de alterar. Isso reduz a dependência da equipe em testes de aceitação de ponta a ponta, que são caros de configurar, lentos para executar, difíceis de automatizar e ainda mais difíceis de manter.
Embora existam boas ferramentas para testes de segurança que podem ser executadas como parte da compilação, a maioria das ferramentas de segurança é difícil de usar com eficácia, difícil de automatizar e tende a ser significativamente mais lenta que outras ferramentas de teste.
Se recomenda não começar com apenas testes automatizados de segurança, a menos que você já tenha tido sucesso ao automatizar testes funcionais e saiba como usar bem suas ferramentas de segurança.
Essas propriedades juntas oferecem um alto nível de confiança de que quaisquer alterações feitas no código não tiveram um efeito imprevisto em outras partes do sistema.
Quais são os tipos de testes automatizados de segurança?
Testes de unidade
Esses testes usam técnicas de teste de caixa branca para garantir que os módulos de código funcionem como o autor pretendia. Eles não requerem sistema em execução, mas geralmente testam as entradas nas saídas esperadas ou nos efeitos colaterais esperados. Bons testes de unidade também testam condições de contorno e condições de erro conhecidas.
Testes funcionais
Esses testes testam conjuntos completos de funções. Geralmente, eles não exigem um sistema em execução, mas exigem alguma configuração, vinculando muitos dos módulos de código. Em um sistema composto por muitos subsistemas, eles verificam um único subsistema, garantindo que cada subsistema funcione conforme o esperado. Esses testes tentam modelar cenários de casos da vida real usando dados de teste conhecidos e as ações comuns que os usuários do sistema executarão.
Testes de integração
Esses testes são o começo da manutenção de um sistema inteiro. Eles verificam se toda a configuração de conexão funciona e se os subsistemas se comunicam adequadamente. Em muitas organizações, o teste de integração é realizado apenas em serviços internos; portanto, os sistemas externos são stubbed com versões falsas que se comportam de maneira consistente. Isso torna os testes mais repetíveis.
Teste do sistema
É o suporte de um sistema totalmente integrado, com integrações e contas externas. Esses testes garantem que todo o sistema funcione conforme o esperado e que as principais funções ou recursos funcionem corretamente de ponta a ponta.
O teste automatizado não substitui outras práticas de garantia de qualidade, mas aumenta enormemente a confiança da equipe em agir rapidamente e fazer alterações no sistema, além de permitir que todos os testes e análises manuais se concentrem nos critérios de aceitação de alto valor.
Além disso, os testes, se bem escritos e mantidos, são uma documentação valiosa para o que o sistema pretende fazer.
Naturalmente, o teste automatizado combina bem com um pipeline de construção para garantir que todas as construções tenham sido totalmente testadas, automaticamente, como resultado da construção.
Agora após entender um pouco qual a importância dos testes automatizados em segurança e quais são os seus tipos, vamos entender quais são os benefícios de adotá-los em uma organização:
Velocidade
Testes automatizados podem ser executados frequentemente sem a necessidade de interfaces com o usuário ou chamadas de rede lentas. Eles também podem ser paralelizados, para que milhares de testes possam ser executados em poucos segundos.
Consistência
Os testadores manuais, mesmo quando seguem as listas de verificação, podem falhar em um teste ou executá-lo de maneira incorreta ou inconsistente. Testes automatizados sempre executam as mesmas ações da mesma maneira a cada vez. Isso significa que a variabilidade é drasticamente reduzida nos testes, reduzindo muito os falsos positivos (e mais importante, os falsos negativos) possíveis nos testes manuais.
Repetitividade
Os testes automatizados, por serem rápidos e consistentes, podem ser confiados pelos desenvolvedores cada vez que fazem alterações. Algumas técnicas ágeis até prescrevem a gravação de um teste primeiro, que falhará e, em seguida, a implementação da função para fazer o teste passar. Isso ajuda a evitar regressões e, no caso do TDD, ajuda a definir o comportamento externo como a principal coisa sob teste.
Auditabilidade
Testes automatizados precisam ser codificados. Esse código pode ser mantido no controle de versão junto com o sistema em teste e sofre os mesmos mecanismos de controle de mudanças. Isso significa que você pode acompanhar uma mudança no comportamento do sistema, observando o histórico dos testes para ver o que mudou e qual foi o motivo da mudança.
Treinamentos DevSecOps Essentials e DevSecOps Advanced
Não perca tempo e leve o DevSecOps para a sua organização! Temos dois cursos ótimos para você que quer se tornar um especialista no assunto:
DevSecOps Essentials orientado a todos os profissionais de TI para um nivelamento conceitual e engajamento das atividades de cada especialista no contexto da Segurança em DevOps.
E o curso DevSecOps Advanced focado na formação dos especialistas da segurança da informação em TI no universo DevOps.
