Più cresce la complessità del software, più una strategia di automation test, cioè di testing automatizzato della qualità e sicurezza delle applicazioni sviluppate, si rivela essenziale, soprattutto nell’attuale scenario di forte crescita di attacchi cyber e violazioni. L’automation test aiuta infatti a soddisfare i requisiti richiesti dal software di ultima generazione, in cui il numero di linee di codice continua ad aumentare.
Cicli di sviluppo più rapidi per rispettare il time-to-market
L’automation test assume un ruolo primario oggi, nel quadro di accelerazione dei cicli di sviluppo: sfruttando paradigmi come il modern application development, il software dev’essere consegnato in produzione agli utenti finali, o distribuito ai consumatori, più rapidamente, e con rilasci molto più frequenti. Ciò è necessario per conservare competitività e riuscire a rispondere, nelle corrette finestre di time-to-market, alle disparate esigenze di business o alle necessità di utilizzatori che richiedono app e servizi con funzionalità efficienti, affidabili, innovative, capaci di elevare di continuo il livello di user experience nell’interazione con un brand. Al contempo, però, il software dev’essere il più possibile esente da difetti e vulnerabilità della sicurezza, sfruttabili per installare malware, compiere attacchi, perpetrare furti di dati o violazioni della privacy.
Automation test per superare i limiti del test manuale
L’automation test, attraverso vari metodi, tecnologie e tool di automazione, punta a contenere al massimo le operazioni manuali, a differenza dei tradizionali metodi di collaudo del software. Questi ultimi richiedono infatti la scrittura ed esecuzione manuale di tutti i test e “test case” necessari per coprire in maniera adeguata le funzionalità e i casi di utilizzo del programma, in modo da verificare la sua sicurezza e qualità in ogni condizione. Il test manuale comporta però rischi di difetti e bug introdotti a causa dell’errore umano, e, nel caso di test ripetitivi e operazioni di routine, diventa tedioso da eseguire per gli sviluppatori. Inoltre, il test manuale, a causa dei tempi di esecuzione richiesti, non appare più un metodo realisticamente applicabile nei delineati scenari di crescente complessità del codice e di accelerazione del ciclo di sviluppo software (SDLC).
Automation test, un pilastro chiave in DevOps
Oggi i team di sviluppo adottano in modo crescente paradigmi come il DevOps che, tra le varie pratiche, si fondano sull’instaurazione, negli ambienti di lavoro, di pipeline CI/CD (continuous integration/continuous delivery/continuous deployment) indirizzate all’integrazione, distribuzione e implementazione continua del codice. Soprattutto in tali ambienti, attraverso l’automation test, i test di sicurezza e qualità del codice sono automatizzati, integrati e condotti con continuità all’interno del ciclo di sviluppo. Nelle pratiche CI/CD, tutte le modifiche apportate al codice vengono infatti integrate tramite la creazione di una build, che, prima di procedere oltre nel SDLC, viene subito verificata attraverso una serie di test automatizzati per il controllo di qualità e sicurezza.
DevSecOps: come automatizzare il test di sicurezza nel SDLC
Applicare, nell’ambiente di sviluppo, il paradigma DevSecOps (development, security, and operations), è la strada per integrare in DevOps l’automation test per la verifica della sicurezza in ogni fase del ciclo di sviluppo software.
I problemi di sicurezza delle applicazioni possono interessare aspetti molto differenti, che riguardano, ad esempio, le modalità di creazione delle password, i metodi di autenticazione, le vulnerabilità del codice, l’errata configurazione dei server, la fragilità delle interfacce di programmazione (API), la sicurezza di applicazioni containerizzate e delle relative infrastrutture, e molto altro. L’obiettivo, con DevSecOps, è controllare velocemente tutti questi problemi di security prima possibile nel SDLC, attraverso l’ausilio di varie tipologie di strumenti di automation test, in grado di accelerare, e rendere ripetibili e riutilizzabili, le varie procedure di analisi di codice e scansione delle vulnerabilità.