By Elvira Khusainova, Senior Test Automation Engineer at Deutsche Telekom ITTC Hungary





«Безопасность — это уже не отдел, это мышление — и тестирование — это то, с чего оно начинается». — Эльвира Хусаинова

В 2025 году это уже не удивительно, когда ваше мобильное приложение будет взломано.how early in the process those breaches could’ve been stopped— если бы правильные люди задавали правильные (разрушительные) вопросы.

Эти люди? все больше и больше, они являются инженерами QA. И все больше из нас принимаютnew identity: part tester, part ethical hacker.

Тесты, которые думают как нападающие

Традиционная QA заключалась в том, чтобы подтвердить ожидаемое поведение, но это только половина истории.

«Тест, который только что доказываетРаботыявляется неполным. реальный тест должен также попытаться доказать этоМожно разбить«Эльвира говорит.

В своей нынешней роли в Deutsche Telekom Elvira объединяет автоматизацию пользовательского интерфейса на основе селена с OWASP ZAP, Burp Suite, Postman и даже такими инструментами, как Metasploit.

Мы наблюдаем ускоряющуюся тенденцию: тестовые рамки и платформы QA наполняются функциями, когда-то эксклюзивными для тестировщиков проникновения.По данным Elvira, многие инструменты, используемые инженерами QA, теперь удвоились в качестве средств безопасности.

Вот как эта смена выглядит на практике:

Selenium WebDriver по-прежнему идеально подходит для тестирования пользовательского интерфейса, но теперь он часто используется наряду с OWASP ZAP или Playwright для более глубокого анализа.

Postman, основной элемент тестирования API, все чаще сочетается с Hoppscotch или Burp Suite для симуляции попыток несанкционированного доступа или впрыска.

Jenkins и GitLab CI больше не только для тестовой автоматизации — они теперь выполняют встроенные проверки безопасности, такие как OWASP Dependency Check в рамках процесса создания.

Команды Elvira дополняют BDD моделированием угроз, преобразуя истории пользователей в потенциальные атаковые деревья, прежде чем даже будет написана первая строка кода.

AI ускоряет смену

В последней инициативе своей команды Эльвира возглавила использованиеLLMs to generate attack simulationsИдентифицировать потенциальные уязвимости бизнес-логики.Это было не только о тестировании охвата — это было о обнаружении угроз.

«Мы обучили местного агента GPT на прошлых эксплуатируемых данных.Он начал выводить на поверхность сценарии, которые наш регрессионный пакет пропустил в течение многих лет».

Вот как ИИ переопределяет свою стратегию QA:

Автоматическое генерирование вредоносных потоков пользователей

Автоматическое преобразование требований в атакующие деревья

Симулированное поведение пользователя под давлением (груз + вторжение)

Разрыв в культуре безопасности

Несмотря на преимущества, все еще существует разрыв.Многие организации превращают безопасность в изолированные аудиторские команды.Elvira утверждает, что это устарело:

«К моменту, когда происходит обзор безопасности, уже слишком поздно. QA должен владеть безопасностью с первого дня».

Она выступает за кросс-тренинг, предоставляя младшим тестерам доступ к таким инструментам, как Kali Linux или OWASP Juice Shop.basic threat modeling into agile sprint planning.

Что будет дальше?

Эльвира видит будущее, где:

Каждый сотрудник QA знает, как запустить сканирование уязвимостей

CI трубопроводы не только на сломанных характеристиках, но и на открытых портах или слабых автоматах

Безопасность становится общим языком, а не хитростью

Ваш следующий проект?Включениеaccessibility testing,performance under exploit, иsecure-by-default test frameworksВступление в корпоративные циклы.

Окончательная мысль

Тестеры всегда были защитниками пользовательского опыта.В 2025 году они также являются защитниками доверия, данных и рабочего времени.

Речь идет не только о «работает ли это?» больше, а о «может ли это сломать нас?»

И это вопросQA should be asking first.