15 февраля в Нижнем Новгороде состоялся митап по тестированию и безопасности проектов. Поговорили о работе с инцидентами и баг-баунти-подходе команды Mail.ru Group, а коллеги из Ecommpay рассказали о DAST в CI/CD. Также узнали про интересный инструментарий Fidler & Charles, и отдельным блоком прошлись по автоматизации без тест-инженеров и по BDD-подходу.
Под катом собрали для вас все самое полезное, что может остаться после таких событий.
Управление инцидентами в Почте Mail.ru
Антон Викторов, менеджер по обеспечению качества, Почта Mail.ru, Mail.ru Group
Антон рассказал про комплексный подход команды Почты Mail.ru к работе с инцидентами: как ребята фильтруют входящий поток обращений, что из этого они считают инцидентами, а что перенаправляют в другие подразделения, например, в саппорт. Еще Антон привел пару интересных примеров, как команда работает с репортами от сотрудников компании. По его словам, это особая аудитория и запросы уходят в отдельную очередь, потому что есть прямой доступ к коллегам — а значит, быстрее закрывается кейс, который может возникать и у внешних пользователей. Кроме того, Антон поделился информацией про workflow, автоматизацию и полезные инструменты — это можно посмотреть по ссылке ниже:
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail.ru
Анна Долгова, руководитель группы тестирования, рекомендательные системы Mail.ru, Mail.ru Group
Аня решила рассказать про две наиболее распространенные утилиты для тестирования задач, связанных с трафиком. Ее презентация будет полезна тем, кто хочет побольше узнать про функционал и, возможно, открыть для себя что-то новое. Мы согласны с тем, что документация — это, конечно, хорошо, но здесь разложены по полочкам наиболее частые кейсы, с которыми потенциально сталкиваются при сниффинге трафика, подробнее по ссылке:
DAST в CI/CD
Ольга Свиридова, специалист по безопасности приложений, Ecommpay
На сегодняшний день такие популярные анализаторы, как OWASP ZAP и Burp Suite, не всегда хорошо справляются с задачей автоматического сканирования приложений. Нередко они не могут найти какие-то специфические директории, автоматически отправить запрос без участия человека. И часто данные инструменты запускаются локально. При этом, если в компании хорошо работает команда по автоматизации тестирования, их работу можно взять за основу динамического анализа и фазинга. Подробнее в видео:
Другая сторона баг-баунти-программ: как это выглядит изнутри
Владимир Дубровин, руководитель службы тестирования, Почта Mail.ru, Mail.ru Group
Этот доклад про то, как программа bug bounty интегрирована во внутренние процессы Mail.ru Group. Владимир поделился текущей (на тот момент) статистикой по баг-баунти. Рассказал, как они работают с сообществом и анализируют входящие запросы, как информация из багрепортов помогает не просто фиксить баги, но и изменять внутренние процессы. Также дал несколько советов по организации охоты (и что делать, если совсем не получается запустить полноценную программу). Больше полезных советов в видео:
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins
Александр Яковлев, программист E-Commerce платформы, Mail.ru Group
Александр поделился тем, как они применяют у себя методологию BDD. Если что, BDD (Behavior-driven development) — это методология разработки программного обеспечения, являющаяся ответвлением от методологии разработки через тестирование. Основной задачей было автоматизировать тестирование UI. Для этого ребята используют Cucumber, Cypress и Jenkins. Посмотреть, что получилось и какие выводы есть у Саши на данный момент, можно по ссылке:
Автоматизация без тест-инженеров по автоматизации
Мария Терехина, process advisor и Владислав Кузнецов, CTO, Emergn
В рамках доклада поделились примерами проектов, на которых есть автоматизация, но нет ни одного специально выделенного инженера для выполнения задач, связанных с автоматизацией тестирования. Более подробно по ссылке:
Все материалы (фотографии, презентации и отдельно видео) можно найти в нашем Облаке.
До встречи на других событиях Mail.ru Group!
Автор: s_egorov