Test

Wichtig ist, die Anwendung nicht nur funktional zu testen. In einem Testplan sind die zuvor definierten Sicherheitschecks zu verfeinern oder zu ergänzen, auszuführen und zu dokumentieren. Nach der Fehlerbereinigung muss erneut geprüft werden. Dabei sind nicht nur Checks vorzunehmen, die sich direkt auf die bereinigten Fehler beziehen, sondern auch mögliche Nebeneffekte der am Code vorgenommenen Änderungen zu berücksichtigen. Die Security-spezifischen Tests sollte ein Sicherheitsverantwortlicher überprüfen oder besser: abnehmen.

Bei unserem Webshop wird ein Teil der Tests, die sich leicht automatisieren lassen, in eine Suite fachlicher Checks integriert. Die restlichen Überprüfungen sind vor jedem Release als Testplan manuell vorzunehmen. Inhalte sind unter anderem das Rollenkonzept, einfache Injection-Flaws und die strenge Eingabevalidierung der Daten. Ein externer Sourcecode-Review sorgt für PCI-Compliance. Parallel dazu erfolgt ein Penetrationstest, der einer Attacke eines qualifizierten Angreifers entspricht. Zudem prüft der Tester auch unkonventionelle Vorgänge, auch die Produktions- beziehungsweise Integrationsumgebung wird getestet. Die Ergebnisse der Tests werden in einer Restrisikoanalyse bewertet und das verbleibende Risiko eingeschätzt.