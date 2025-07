By Elvira Khusainova, Senior Test Automation Engineer at Deutsche Telekom ITTC Hungary





“Güvenlik artık bir departman değil; bu bir zihniyettir – ve testler başlangıç noktasıdır.” – Elvira Khusainova

2025 yılında, mobil uygulamanız sızdırıldığında artık şaşırtıcı bir şey değildir.how early in the process those breaches could’ve been stoppedDoğru kişiler doğru soruları sormuş olursa.

Bu insanlar giderek artıyor, onlar QA mühendisleri. ve bizden daha fazla birnew identity: part tester, part ethical hacker.

Saldırganlar gibi düşünenler

Geleneksel QA, beklenen davranışları onaylamakla ilgiliydi.Ama bu sadece hikayenin yarısı.

"Bir şeyi kanıtlayan bir testişleriGerçek bir test de bunu kanıtlamaya çalışmalıdır.kırılabilirElvira diyor ki:

Deutsche Telekom'daki mevcut rolünde, Elvira Selenium tabanlı UI otomasyonunu OWASP ZAP, Burp Suite, Postman ve Metasploit gibi araçlarla birleştirir. test senaryoları sadece düğmeleri doğrulamakla kalmaz - brute force saldırılarını simüle eder, yanlış yapılandırılmış JWT'leri kontrol eder ve XSS ve CSRF riskleri için API'leri karıştırır.

Hızlanan bir eğilimi görüyoruz: Test çerçeveleri ve QA platformları bir zamanlar penetrasyon testçilerine özel özelliklerle aktarılıyor.Elvira'ya göre, QA mühendisleri tarafından kullanılan birçok araç artık güvenlik varlıkları olarak iki katına çıkıyor.

İşte bu değişim pratikte nasıl görünüyor:

Selenium WebDriver hala UI testleri için geçerlidir - ancak şimdi daha derin bir analiz için OWASP ZAP veya Playwright ile birlikte sıklıkla kullanılır.

API testinin temel bir parçası olan Postman, yetkisiz erişim veya enjeksiyon girişimlerini simüle etmek için Hoppscotch veya Burp Suite ile giderek daha fazla çiftleştirilmektedir.

Jenkins ve GitLab CI artık sadece test otomasyonu için değil - şimdi kurulum sürecinin bir parçası olarak OWASP Bağımlılık Kontrolü gibi entegre güvenlik kontrollerini çalıştırıyorlar.

Elvira’nın ekipleri BDD’yi tehdit modelleriyle tamamlar ve ilk kod satırının bile yazılmadan önce kullanıcı hikayelerini potansiyel saldırı ağaçlarına dönüştürür.

Değişimi hızlandırıyor

Elvira, ekibinin en son girişiminde,LLMs to generate attack simulationsBu sadece test kapsamı ile ilgili değildi - tehdit keşfi hakkında değildi.

“Geçmişteki istilacı veriler üzerinde yerel bir GPT ajanını eğittik. yıllardır kaçırılan regresyon paketimizdeki sınırlı durum senaryolarını ortaya çıkarmaya başladı.”

İşte AI kendi QA stratejisini nasıl yeniden tanımlıyor:

Kötü amaçlı kullanıcı akışlarının otomatik oluşturulması

Gereksinimlerin saldırı ağaçlarına otomatik dönüştürülmesi

Kullanıcı davranışlarının zorluk altında simüle edilmesi ( yük + girişim)

QA-Güvenlik Kültürü Farkı

Faydalarına rağmen hala bir boşluk var.Bazı kuruluşlar güvenlikleri yalıtılmış denetim ekiplerine dönüştürüyor.Elvira bunun eski olduğunu savunuyor:

“Bir güvenlik incelemesi gerçekleştiğinde, zaten çok geç. QA ilk günden itibaren güvenlik sahibi olmalıdır.”

Küçük testçilere Kali Linux veya OWASP Juice Shop gibi araçlara maruz kalmalarını ve entegre etmelerini sağlayan çapraz eğitimi savunuyor.basic threat modeling into agile sprint planning.

Sonraki İçerikNe Geliyor?

Elvira, şunları gördüğü bir geleceği görüyor:

Her QA kiracısı bir güvenlik açığı taraması nasıl çalıştığını biliyor

CI borular sadece kırık özelliklerde değil, açık portlarda veya zayıf auth

Güvenlik ortak bir dil, handoff değil

Sonraki YazıSonraki YazıSonraki YazıSonraki YazıSonrakiaccessibility testingveperformance under exploitvesecure-by-default test frameworksEnterprise Release Cycles’a katılın.

Son Düşünce

Testerler her zaman kullanıcı deneyiminin savunucuları olmuştur. 2025'te aynı zamanda güven, veri ve çalışma süresi savunucularıdır.

Bu sadece “bu işe yarıyor mu?” hakkında değil, “bu bizi kırabilir mi?” hakkında.

Ve bu bir soruQA should be asking first.