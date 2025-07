By Elvira Khusainova, Senior Test Automation Engineer at Deutsche Telekom ITTC Hungary





„Безбедноста веќе не е оддел, тоа е начин на размислување – и тестирањето е она што почнува.“ – Елвира Хусаинова

Во 2025 година, веќе не е изненадување кога вашата мобилна апликација ќе биде прекината.how early in the process those breaches could’ve been stopped– ако вистинските луѓе ги поставуваат вистинските (деструктивни) прашања.

Овие луѓе се повеќе се QA инженери.И повеќе од нас се прифаќаатnew identity: part tester, part ethical hacker.

Тестови кои размислуваат како напаѓачи

Традиционалниот QA беше за потврдување на очекуваното однесување, но тоа е само половина од приказната.Што ако корисникот не е само корисник, туку противник?

Тест кој само докажува нештоРаботиНе е комплетен.Вистинскиот тест исто така мора да се обиде да го докажеМоже да се скрши„Како што вели Елвира.

Во својата моментална улога во Deutsche Telekom, Елвира ја меша автоматизацијата на корисничкиот интерфејс базирана на Селениум со OWASP ZAP, Burp Suite, Postman, па дури и алатки како Metasploit.

Ние гледаме на забрзување на трендот: тестирање рамки и QA платформи се инфузии со карактеристики некогаш ексклузивни за тестирање на пенетрација. Според Elvira, многу алатки кои се користат од страна на QA инженери сега двојно како безбедносни средства.

Еве како оваа промена изгледа во пракса:

Selenium WebDriver сè уште е идеален за тестирање на корисничкиот интерфејс - но сега често се користи заедно со OWASP ZAP или Playwright за подлабока анализа.

Postman, основен дел од API тестирањето, се повеќе се спојува со Hoppscotch или Burp Suite за да симулира неовластен пристап или обиди за инјектирање.

Jenkins и GitLab CI повеќе не се само за тестирање на автоматизација - тие сега работат вградени безбедносни проверки како OWASP зависност проверка како дел од процесот на градење.

Тимовите на Elvira го надополнуваат BDD со моделирање на закани, претворајќи ги корисничките приказни во потенцијални дрвја за напад пред да се напише првиот ред на код.

AI го забрзува промената

Во најновата иницијатива на нејзиниот тим, Елвира ја водеше употребата наLLMs to generate attack simulationsИдентификување на потенцијални слабости во деловната логика.Тоа не беше само за покриеност на тестовите - тоа беше за откривање на закани.

„Ние обучивме локален агент за ГПТ за минатите податоци за експлоатација.Тоа почна да ги открива сценарија за крајните случаи кои нашиот пакет за регресија ги пропуштил со години.“

Еве како AI ја редефинира својата стратегија за QA:

Автоматско генерирање на малициозни кориснички токови

Автоматска конверзија на барањата во нападни дрвја

Симулирано однесување на корисникот под тежина (товари + интраузија)

Разликата во културата на безбедност

И покрај придобивките, сè уште постои празнина.Многу организации ја претвораат безбедноста во изолирани тимови за ревизија.

„До моментот кога ќе се случи безбедносен преглед, веќе е предоцна.

Таа се залага за крос-тренинг, давајќи им на младите тестери изложеност на алатки како Kali Linux или OWASP Juice Shop, и вградувањеbasic threat modeling into agile sprint planning.

Што доаѓа следно?

Елвира гледа иднина каде:

Секој QA вработен знае како да изврши скенирање на ранливост

CI цевниците не успеваат само на скршени карактеристики, туку и на отворени порти или слаби аутх

Безбедноста станува заеднички јазик, а не ханоф

Вашиот следен проект? вградувањеaccessibility testing, наperformance under exploitиsecure-by-default test frameworksво корпоративните циклуси на ослободување.

Завршна мисла

Тестерите отсекогаш биле бранители на корисничкото искуство.Во 2025 година, тие исто така се бранители на довербата, податоците и оперативното време.

Тоа не е само за "Дали тоа функционира?" повеќе. Тоа е за "може ли да не скрши?"

И тоа е прашањеQA should be asking first.