Desde NEXO QA lanzamos un nuevo AfterTest presencial en Barcelona, esta vez de la mano de Rodrigo Jiménez, quien nos contará de testing de seguridad.

 

Te imaginas que el trabajo empleado en hacer test e2e pudiera ser aprovechado para la detección de vulnerabilidades de Seguridad. Pues sí, así es, al elaborar tu plan de pruebas E2E para testear tu aplicación generarás acciones que invoquen a los objetos y operaciones de ésta. Entonces, podemos hacer que el framework de ejecución de pruebas e2e (en este caso Cypress) lance éstas a través de una herramienta de análisis de vulnerabilidades en tiempo de ejecución (en este caso OWASP ZAP) obtendremos posibles agujeros de seguridad en nuestra aplicación.

 

En esta charla, Rodrigo Jiménez comenzará con una introducción sobre la tipología de pruebas E2E y cómo desarrollar y lanzar un ejemplo de éstas sobre una aplicación con frontal mediante la herramienta Cypress.

 

Tras conocer el funcionamiento de esta herramienta de testing, Rodrigo dará a conocer los diferentes tipos de análisis de seguridad que habría que tener en cuenta en el ciclo de vida de desarrollo de software profundizando en el análisis de seguridad «DAST» (Dynamic Analysis Security Testing), el cuál se realiza en tiempo de ejecución de nuestra aplicación.

 

En este punto, hablará sobre la herramienta de seguridad «OWASP ZAP» la cuál utilizaremos como intermediario entre el lanzamiento de tests E2E por parte de Cypress y nuestra aplicación para obtener un informe con las vulnerabilidades y posibles agujeros de seguridad que pueda haber sobre nuestra aplicación.

 

Con esta charla, aprenderás conceptos básicos de testing E2E y los tipos de análisis de seguridad del SSDLC, cómo desarrollar y lanzar tests E2E con Cypress y cómo utilizar OWASP ZAP para obtener vulnerabilidades de seguridad.

 

 

 

Rodrigo Jiménez empezó su carera desarrollando herramientas propias para lanzar tests en .Net, pasando por ejecución manual de pruebas utilizando herramientas de gestión de la calidad hasta gestionar los proyectos de forma autónoma. Dio un paso adelante en otras compañías para diseñar e implantar toda la estrategia de calidad en los procesos de éstas; hasta que hace unos años llegó a su empresa actual formando parte de un equipo cross (SecDevOps) donde además de implantar y diseñar los procesos de calidad para todos los equipos de seguridad que se encuentran dentro de nuestro abanico, realiza tareas DevOps y lidera el plan general de calidad de la compañía. Ha sido ponente en AfterTest, Test Academy (Madrid, Barcelona y Valencia) y miembro del comité de selección en expo:QA.

 

 

Ven y gana una entrada al expo:QA, el  30, 31 de  mayo y 1 de junio

 

 

 

 

 

El AfterTest está organizado por

 

 

 

 

 

Lugar ofrecido por