×
QA trends 2019 PL miniatura

Pobierz nasz raport i bądź na bieżąco z najnowszymi trendami QA, Cyberbezpieczeństwa, IoT czy DevOps!

POBIERZ

Zlekceważyli testy i ponieśli tego konsekwencje. Przykłady kilku wadliwych aplikacji i zagrożenia, jakie spowodowały.

QA

Wydaje się, że testy oprogramowania to fundament każdej firmy, która poważnie podchodzi do swojej działalności. Niestety, nadal zdarzają się sytuacje, gdy ludzie odpowiedzialni za projekt pomijają ten bardzo ważny etap powstawania kodu. Konsekwencje ich decyzji stają się jasne przeważnie w krótkim czasie po premierze i zapewniamy Was, nie są to przyjemne chwile.

Gry komputerowe

Jedną z bardziej krwawych ofiar braku testów w świecie gier jest Assassin’s Creed Unity. Ta seria to perełka wśród pozycji wydawanych przez Ubisoft – firmę-legendę w branży. W tym przypadku ewidentnie zabrakło odpowiednich testów, gdyż tuż po wydaniu gry praktycznie nie dało się z niej korzystać. Fora internetowe “spływały żółcią” od sfrustrowanych fanów serii, a w tym czasie programiści w pośpiechu pisali kolejne łatki. Skończyło się na serii poprawek, oficjalnych przeprosinach i darmowej grze z katalogu Ubisoft, dla każdego poszkodowanego gracza. Oszczędność zamieniła się w dużą stratę. Jedynie szybka reakcja i mocna pozycja na rynku uratowały firmę z tarapatów.

Bramki płatności

 

Przykładem z piątku 3.11.2017 są błędy wykryte we wtyczce operatora płatności Przelewy24.pl. Jest to seria krytycznych błędów umożliwiająca nieautoryzowany dostęp do bazy danych i robienia zakupów bez płacenia za nie. Problem okazał się na tyle duży, że operator przeprowadził akcję informacyjną wśród swoich klientów, namawiając ich do wyłączenia wtyczek, do czasu aż pojawią się odpowiednie poprawki. Wyciek danych lub ich utrata oraz sprzedaż towaru bez zapłaty to tylko część z potencjalnych zagrożeń, na jakie narażeni byli właściciele sklepów.

Oprogramowanie e-commerce

Tego typu software powinien być w najwyższym stopniu przetestowany i zabezpieczony na wiele sposobów. Certyfikat SSL/TLS to obecnie standard, a jego brak to jawne proszenie się o kłopoty. Właściciele systemów e-commerce powinni również zadbać o regularne tworzenie kopii swoich stron i przechowywanie ich na bezpiecznych serwerach, a także szyfrowanie danych osobowych, w szczególności haseł.

Błędy w programie do obsługi sklepu lub sprzedaży plików mogą być bardzo kosztowne, a w najgorszym przypadku potrafią na dobre zepsuć renomę danej marki. Testowanie wszystkich aplikacji webowych powinno również sprawdzać tak podstawowe kwestie, jak bezpieczeństwo. By je zapewnić, właściciel platformy e-commerce powinien przeprowadzić testy penetracyjne, które wykażą wszelkie podatności na ataki systemu.

Właśnie takich testów zabrakło w przypadku pewnego popularnego sklepu z odzieżą patriotyczną. Rezultatem był ogromny wyciek danych ich klientów.

Ujawnione dane zawierały:

  • imię i nazwisko,
  • numer telefonu,
  • adres e-mail,
  • miejsce zamieszkania.

Tego typu wpadki zdarzają się zdecydowanie za często i nawet duże firmy narażają wrażliwe dane swoich klientów. Przykładem z tego roku niech będzie amerykański operator telefoniczny Verizon, z którego bazy wydostały się dane ponad 14 milionów jego użytkowników. Jeszcze większym zagrożeniem może być wyciek danych kart kredytowych. Tutaj przyjrzyjmy się sklepowi zoologicznemu FuturePets.com. Jest to rażący przykład niedbalstwa i ignorancji, ponieważ sklep nie dysponował żadnym algorytmem szyfrującym, a dane przechowywał na niezabezpieczonym serwerze. Efekt? Ujawniono wszelkie możliwe informacje, w tym ponad 110 tysięcy numerów kart kredytowych zapisanych w sklepie.O tym jak skutecznie zadbać o bezpieczeństwo w sklepie internetowym dowiesz się na blogu Cyberforces – Twojego partnera od bezpieczeństwa w sieci.

Testowanie = bezpieczeństwo

Praktyka pokazuje, że zaniedbanie testów po jakimś czasie (z reguły bardzo szybko) powraca w postaci poważnych problemów. Koszty usuwania błędów po fakcie są zdecydowanie wyższe, bo robi się to w pośpiechu, nierzadko zmuszając programistów do pracy po kilkanaście godzin. Do tego dochodzą oświadczenia prasowe i rekompensaty oraz ryzyko utraty dobrego wizerunku. Odbudować dobrą renomę to niezwykle trudne, a często wręcz niemożliwe zadanie.

Nigdy nie wolno lekceważyć etapu testów. Warto zadbać o odpowiednie wyszkolenie pracowników lub zlecić testy specjalistom. Obecnie testowanie nie może zamykać się jedynie do sprawdzenia poprawności działania aplikacji, ale powinno obejmować również kwestie bezpieczeństwa. Skoro hakerom wystarczy zwykłe przeglądnięcie kodu, aby znaleźć miejsca podatne na krytyczny atak, to taka praktyka (Code Review) powinna na stałe zagościć w kulturze testowania każdej firmy szanującej siebie i swoich klientów.

Oceń artykuł:

Łukasz Pietrucha

Łukasz Pietrucha 19.11.2017

Doświadczony specjalista ds. jakości oprogramowania, z ponad 10-letnim stażem, obecnie pracujący jako Project Manager. Swoją karierę rozpoczynał od… tłumaczenia gier video dla znanej, międzynarodowej korporacji, biorąc udział między innymi przy takich produkcjach jak FIFA czy NeedForSpeed. Styczność z zapewnieniem jakości pierwszy raz miał przy testach lokalizacji, które są niezwykle ciekawą gałęzią w tej dziedzinie. Automatyzuje między innymi testy aplikacji na urządzenia mobilne oraz aplikacji webowych. W branży QA działa aktywnie na rzecz lokalnej społeczności WrotQA, będąc współorganizatorem tego wydarzenia. Występuje regularnie w roli prelegenta na meetupach jak również ogólnopolskich konferencjach (Quality Excites, TestWarez). Zdobywca trzeciego miejsca podczas drugiej edycji indywidualnych Mistrzostw Polski w Testowaniu (TestingCup). Posiadacz certyfikatów ISTQB Foundation, ISTQB Advanced Test Manager oraz Scrum Alliance ScrumMaster.

Leave a comment

Your email address will not be published.

Wyszukaj
Kategorie