Das viadee Testframework (vTF) ist um eine neue Funktion erweitert worden. Mit dem neuen Feature ist eine oberflächenbasierte Prozessautomatisierung - insbesondere für Legacy-Systeme – möglich. Die Funktionserweiterung lehnt sich damit an den Ansatz von Robotic Process Automation (RPA) an.
Die zusätzliche Funktion RPA-mit-vTF verfügt zunächst noch nicht über angemessene IT-Sicherheitsmechanismen. Der Wechsel von der Perspektive eines Testwerkzeuges zum Bestandteil einer Prozessautomatisierungs-Landschaft macht diese aber zwingend notwendig. Ziel der vorliegenden Arbeit ist es daher, diese IT-Sicherheitslücken im neuen Einsatzfeld aufzuzeigen und sie mit entsprechenden Gegenmaßnahmen zu schließen, soweit das möglich ist.
Dazu werden Methoden des System Security Engineerings und Requirements Engineerings genutzt: Experteninterviews, Codeanalyse und Threat-Modeling zeigen entsprechende Sicherheitslücken auf und helfen, diese zu bewerten.
Im Verlauf der Arbeit werden acht Sicherheitslücken entdeckt, aus denen sechs Sicherheitsanforderungen entstehen. Zum Einsatz kommen neben einer konsequenten HTTPS-Kommunikation und Authentifizierung am vTF-Dienst vor allem Signaturen für Testfälle (um deren unbemerkte Manipulation unmöglich zu machen), Datenschutz-Funktionen (um keine Produktiv-Daten im Dateisystem zu hinterlassen) und das Tool Hashi Corp Vault (um eine sichere, zentrale Ablage der Credentials außerhalb von Testfall-Dateien herzustellen).
Die neu hinzugekommenen Sicherheits-Funktionen des viadee Testframeworks sind in den aktuellen Stand des Open-Source-Werkzeugs integriert und können durch einen Spring-Profiles-Mechanismus optional eingesetzt werden, ohne das bestehende Kern-Nutzungsszenario anwendungsübergreifender Integrationstests zu stören.
Autor: Julian Laerberg
Betreuung: Prof. Dr. Sebastian Thöne
Abgabedatum: 05.03.2018
zurück zur Blogübersicht
Diese Beiträge könnten Sie ebenfalls interessieren
Keinen Beitrag verpassen – viadee Blog abonnieren
