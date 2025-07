By Elvira Khusainova, Senior Test Automation Engineer at Deutsche Telekom ITTC Hungary





"Säkerhet är inte längre en avdelning. det är ett sätt att tänka - och testning är där det börjar." - Elvira Khusainova

År 2025 är det inte längre en överraskning när din mobila app blir hackad.how early in the process those breaches could’ve been stoppedOm rätt personer hade ställt rätt (destruktiva) frågor.

Dessa människor? alltmer, de är QA ingenjörer. Och fler av oss omfamnar ennew identity: part tester, part ethical hacker.

Testare som tänker som angripare

Traditionell QA handlade om att bekräfta förväntat beteende. Men det är bara hälften av historien.

"Ett test som bara bevisar något"verkär ofullständig. ett verkligt test måste också försöka bevisa detKan vara trasigDet är Elvira som säger.

I sin nuvarande roll på Deutsche Telekom kombinerar Elvira Selenium-baserad UI-automation med OWASP ZAP, Burp Suite, Postman och till och med verktyg som Metasploit.Hennes testskript validerar inte bara knappar – de simulerar brute-force-attacker, kontrollerar felkonfigurerade JWT och fuzz API för XSS- och CSRF-risker.

Vi ser en accelererande trend: testramar och QA-plattformar infunderas med funktioner som en gång var exklusiva för penetrationstester.

Så här ser förändringen ut i praktiken:

Selenium WebDriver är fortfarande go-to för UI-testning - men nu används det ofta tillsammans med OWASP ZAP eller Playwright för djupare analys.

Postman, en grundläggande del av API-testning, paras alltmer med Hoppscotch eller Burp Suite för att simulera obehörig åtkomst eller injektionsförsök.

Jenkins och GitLab CI är inte bara för testautomation längre – de kör nu inbäddade säkerhetskontroller som OWASP Dependency Check som en del av byggprocessen.

Elviras team kompletterar BDD med hotmodellering och omvandlar användarhistorier till potentiella angreppsträd innan den första kodraden ens skrivs.

AI accelererar förändringen

I sitt senaste initiativ ledde Elvira användningen avLLMs to generate attack simulationsoch identifiera potentiella sårbarheter i affärslogiken.Det handlade inte bara om testtäckning – det handlade om hotupptäckt.

"Vi tränade en lokal GPT-agent på tidigare exploitdata. Det började dyka upp kantfallsscenarier som vår regressionssvit missade i åratal."

Så här omdefinierar AI sin QA-strategi:

Automatisk generering av skadliga användarflöden

Automatisk omvandling av krav till attackträd

Simulerat användarbeteende under hårdhet (last + intrång)

QA-säkerhetskultursklyftan

Trots fördelarna finns det fortfarande ett gap. Många organisationer silo säkerhet i isolerade revisionsteam. Elvira hävdar att detta är föråldrat:

"När en säkerhetsöversyn sker är det redan för sent. QA bör äga säkerheten från dag ett."

Hon förespråkar korsutbildning, vilket ger junior testare exponering för verktyg som Kali Linux eller OWASP Juice Shop, och inbäddningbasic threat modeling into agile sprint planning.

Vad kommer nästa?

Elvira ser en framtid där:

Varje QA-anställd vet hur man kör en sårbarhetsskanning

CI-rörledningar misslyckas inte bara på trasiga funktioner, utan på öppna portar eller svaga auth

Säkerhet blir ett delat språk, inte en handoff

Ditt nästa projekt? inbäddningaccessibility testingochperformance under exploitochsecure-by-default test frameworksi företagets frigöringscykler.

Sista tanken

Tester har alltid varit försvarare av användarupplevelse. År 2025 är de också försvarare av förtroende, data och uptime.

Det handlar inte bara om "fungerar det?" längre. Det handlar om "kan det bryta oss?"

Och det är en frågaQA should be asking first.