Die Geister, die ich rief …

Wer mit Testautomatisierung anfängt bzw. wer bereits mittendrin ist, fragt sich (von Zeit zu Zeit):

• Ist das der richtige Weg?
• Was muss ich tun damit mich die Ergebnisse der Testautomatisierung in der täglichen Arbeit unterstützen?
• Wieviel Zeit darf mich das Fixen/Refactoren der bestehenden Tests kosten, bevor ich feststelle – das Verhältnis von Aufwand und Nutzen stimmt nicht mehr

Diese Fragen stellte sich auch der in Testerkreisen bekannte BossBoss von MinistryOfTesting Richard Bradshaw in seiner Testerautomatisierer-Karriere. Daher schauten wir zusammen am 26.04. beim TestParadies-Meeting in den Räumlichkeiten der Jenaer Baugenossenschaft seinen Talk „Automation in Testing“. Darin spricht Richard zunächst über seine Erfahrungen mit der Testautomatisierung, die für ihn im Laufe von 6 Jahren vom Segen zum Fluch wurde, da er am Ende mehr mit der Suche nach den Ursachen für fehlgeschlagene Tests beschäftigt war, als wirklich nutzen aus seinen Testergebnissen zu ziehen. Im zweiten Teil spricht er über sein ganz persönliches Verständnis von „Automation in Testing“ geprägt durch eben diese Erfahrungen.
Den zweiten Vortrag, den wir an diesem Abend sahen wurde von Angie Jones 2016 auf dem Testbash Philadelphia zum Thema „How to Get Automation Included Your Definition of Done“ gehalten. Sie sprach darüber welche Maßnahmen ergriffen werden sollten, um die Testautomatisierung als Bestandteil der DefinitionOfDone zu integrieren.
Beide Vorträge enthielten sehr interessante Ideen, die sich jeder der mit Testautomatisierung beginnen will oder täglich zu tun hat, anschauen sollte!

In unserer Runde in der Automatisierer-Newbies als auch Erfahrene vertreten waren, tauschten wir uns noch den Vorträgen noch eine Weile über selbige und über die eigenen Erfahrungen und Vorstellungen aus. Genau diese Austausch bei dem man über den „Tellerrand“ des eigenen Projektes schaut, hält neue Denkanstöße und Informationen bereit.

Werbung

TestBash goes Germany

Wo kann man mit Richard Bradshaw zusammen ein Bier trinken, mit Vasco Duarte bei einer Kartoffelsuppe über „no estimates“ philosophieren und von Katrina Clockie bei Kaffee und Kuchen aus 1. Hand Tipps bekommen, wie man in eine Führungsrolle hineinwächst? Ganz klar – das geht bei TestBash – und zwar an einem Tag!

Am 06.10.2017 fand in München im Künstlerhaus Am Lenbach die erste TestBash in Deutschland statt. Neben den bereits eingangs genannten Speakern gab es noch 6 weitere spannende Talks rund um Themen aus dem Testerleben.

Nach einem Konferenztag mit 9 Talks ging es geschlossen in den Augustinerkeller zum Socialisen. Bei einem zünftigen bayrischen Essen und dem oben erwähnte Bier tauschten sich über 60 Tester über den ganz alltäglichen Wahnsinn in ihrem Beruf aus.

Der intensive Austausch fand auch am 2. Tag – dem OpenSpace-Tag ungebrochen statt. Mit Blick auf das Oktoberfest-Gelände (war schon vorbei ;)) gab es viele Interessante Sessions in den Räumlichkeiten von Maiborn Wolff.

So viel Input, Inspiration und Austausch untereinander – über das Event hinaus – muss man erstmal verdauen – darum auch jetzt erst der Blog Eintrag.

Eins steht fest – TestBash 2018 – da will ich hin. :)

PS: wer nicht dabei war, kann sich als Pro-Mitglied auf http://www.ministryoftesting.de registrieren und kann alle Talks inklusive der 99 second talks anschauen!

Mob-Testing im Schloss

Am 27.06.2017 trafen Mob-Testing-Interessierte bei der FIO Systems AG zusammen um sich in hochherrschaftlicher Atmosphäre dem Thema zu nähern.
Zunächst stellten die Gastgeber allen voran Thomas Meißner die Qualitätssicherung bei der FIO Systems AG vor. Offen wurden die Entwicklung bis zum heutigen Stand dargelegt und die Herausforderungen, die noch zu stemmen sind umrissen.
Nach einer lockeren Runde TestSphere – die zeitweilig auch eine Selbsthilfegruppe glich, wendeten wir uns dem Thema Mob-Testing zu. Bisher hatte noch keiner von den Teilnehmern Erfahrungen hierzu und so half uns die Organisatorin Kristine Corbus.

Man nehme:
• Zeitraum ohne Störungen von außen – 30min bis maximal 1h
• Testinteressierte (an diesem Abend 3 Gruppen á 3 Personen)
• 1 Person am Rechner, die nur Anweisungen der anderen Gruppenmitglieder ausführen darf
• Personen, die ihre Testideen verständlich formulieren können
• der Wille zur Veränderung ;) denn in einem vorgegebenen Intervall, bspw. 5 min wird der Platz am PC in der Gruppe neu vergeben
• Stift und Zettel um die gefundenen Auffälligkeit zu dokumentieren
Unsere Mob-Testing-Session begrenzten wir auf 30 min  hierbei schauten sich 2 Gruppen FIO.Account, eine webbasierte Software für virtuellen Zahlungsverkehr an, eine weitere Gruppe die Website der FIO Systems AG.

Nach unserer Session stellten wir fest:
• Die Anleitung der Person vorm PC zwingt dazu seine Testgedanken mit einer Gruppe zu teilen. So kann beispielsweise auch ein Tester-Newbee „alten Hasen“ neue Impulse geben.
• Der Austausch und Lernprozess findet statt und am Ende gibt es dabei auch noch ein verwertbares Ergebnis als i-Tüpfelchen. In jeder der Gruppen wurden 1-2 A4 Seiten mit Fehlern und Auffälligkeiten gefunden.
• Die Voraussetzung zum Gelingen eines Mob-Testing-Session sind einzig der Wille aller Beteiligten dazu. In userer Gruppe gab es vom App-Tester bis Desktop-Applikations-Automatisierer jede Coleur von Tester. Am Ende war das einstimmige Resümee jedes Teilnehmers, das er neue Erkenntnisse gewonnen hat.

Nach 3 sehr interessanten Stunden und mit einem Strauß voller neuer Erkenntnisse verabschiedeten wir uns voneinander in die wohlverdiente Sommerpause.

Docker – Ein Einstieg

Am 23.05. trafen wir uns in den Räumlichkeiten des IT-Paradieses zum Thema „TestOps Toolchain – Docker Workshop for Testers and Quality Angels“. Die Interessierten kamen von nah (Jena) und fern (Universitätsstadt Ilmenau!).
Die Referenten Bastian Klein und Benjamin Nothdurft erläuterten im Vortragsteil zunächst die Entstehen, Handhabung und Grundbegriffe zum Thema Docker. Aufkommende Fragen wurden ad-hoc und kompetent beantwortet. Vor der Pause zum Workshop-Teil wussten wir bereits: was Docker ist, wofür man es benutzen kann und in groben Zügen welche Schritte nötig sind, um einen Docker-Container mittels eines  Dockerfiles zu erstellen. Klar wurde auch, das hierfür gute Linux-Kenntnisse von ungemeinem Vorteil sind.

Im zweiten Teil des Abends saß jeder vor seinem PC und probierte das Erstellen von Docker-Containern mittels des von Docker angebotenen Trainings (http://training.play-with-docker.com) aus. Bastian Klein und Benjamin Nothdurft unterstützen auch in diesem Teil, da beim praktischen Ausprobieren von neu erlernten bekanntlich die meisten Fragen auftauchen.

Auch wenn es nicht für jeden Teilnehmer das richtige Einstiegslevel war, so ist man doch ohne Frage am Ende der Veranstaltung schlauer als zuvor. Docker wurde an diesem Abend als leichtfüßige Anwendung vorgestellt. Ist das Dockerfile (Bauplan des Containers) erstellt, ist man von der Nutzung des Containers nur einen Einzeiler auf der Konsole entfernt. Als Tester hat Docker den Charme der Reinheit und Unberührtheit. Man kann den Container  10, 100, 1000 mal erstellen, er hat nach dem Erstellen immer den exakt gleichen Zustand – welch paradiesische Aussicht.

Test Paradies goes Halle

Premiere! – am 04.04. fand das erste Test Paradies außerhalb von Jena statt – bei Datameer in Halle an der Saale. Fast 20 Interessierte vorwiegend aus Halle und Leipzig fanden sich in den Räumlichkeiten von Datameer ein. Beim Vortrag zu Beginn der Veranstaltung zum Thema „Testing im agilen Kontext – Datameer Erfahrung“ wurde Robert Reif von einem ProductOwner, dem Release-Manager sowie dem QA-Director unterstützt. Die 4 Musketiere schilderten Ihren „Kampf“ für die bestmöglichste Qualität in ihrem Produkt und ihren gemeinsamen Weg, um dieses Ziel zu erreichen. Viele Fragen und Beiträge aus dem Publikum rundeten den gelungen Vortrag ab. Bei leckerer Pausenversorgung tauschten wir uns in kleineren Gruppen zu den verschiedensten Themen wie verteilte Teams, Security/Datenschutz und vieles mehr aus. Am Ende fanden wir alle nochmal in einer großen Runde zusammen und rutschten leicht ins philosophieren ab. ;) Bei Themen wie – was ist gute Qualität, muss der erste Wurf schon „perfekt“ sein, braucht es nicht das Unperfekte um sich entwickeln zu können, soll der Tester dem Entwickler schon beim Coden über die Schulter schauen und wie agil wollen wir wirklich sein? – führten wir eine sehr angeregte Diskussion. Auf dem kurzen oder längeren Heimwegen der Teilnehmer schwirrten sicher noch die ein oder anderen Themen der gut 3-stündigen Veranstaltung durch den Kopf – und das ist auch gut so. :)

Ein gerader Weg führt immer nur ans Ziel. (Andre Gride)

Am 08.03.2017 lauschte ich mit etwa 20 weiteren Interessierten dem Vortrag von Christian Carl zum Thema „UI Automatisierung mit Ranorex“.
Im „Theorie-Teil“ des Vortrags zeigte er den Evolutionsprozess der Qualitätssicherung an einem ausgewählten Projekt. Er berichtete geradeheraus von den Irrungen und Wirrungen im Bereich der Softwaretests im Allgemeinen und der Testautomatisierung im Speziellen.
Nach einer ordentlichen Stärkung durch leckere Pizza, gesponsert von Xceptance starteten wir in den zweiten – praktischen – Teil des Vortrags.
Nun bekamen wir einen Einblick ins Ranorex-Universum. Neben dem Recorder wurden von Christian, Ranorex Spy, Ranorex TestReports sowie einige Funktionen der Ranorex UI selbst gezeigt, erklärt und entstandene Fragen aus dem Publikum beantwortet.
Die Ausführungen von Christian ermöglichten es dem Zuhörer, sich an jenem Abend eine Meinung zum vorgestellten Testautomatisierungstool Ranorex zu bilden. In seinem kurzweiligen Vortrag sprach er offen über die Herausforderungen für ihn als Softwaretester im vorgestellten Projekt und die erarbeiteten (Testuatomatisierungs-)Lösungen. Von diesen Erfahrungen kann nun jedem Zuhörer profitieren und im eigenen Testerleben gewinnbringend einsetzen. Vielen Dank an Christian!

30daysofsecuritytesting – und nun?

Einige Tage sind seit Beginn der Challenge ins Land gegangen und nach einem starken Beginn hat mich der normale (Projekt-)Wahnsinn nach knapp 10 Tagen eingeholt.

Nichts desto trotz habe ich in dieser Zeit schon einiges gelernt und bei mir ist die Neugier auf mehr geweckt.

Ich werde mich also weiter mit den einzelnen Aufgaben beschäftigen und interessante Erkenntnisse an dieser Stelle posten!

#30daysofsecuritytesting – 8

Aufgabe 8: Use a proxy toll to observe web traffic in web or mobile application

Ich habe mich dafür entschieden Burp Suite an meinen Chrome-Browser anzubinden. Nach dem Installieren von Burp Suite war ich zunächst erstmal erschlagen von den 13 Haupt-Tabs – ja, ich habe nachgezählt ;) – die nach dem Start des Programmes zu sehen sind. Die Konfiguration ging leicht von der Hand, auch weil sich mein neuerworbenes Buch „Hacking im Web“ von Tim Phillipp Schäfers dem Tool, dessen Konfiguration und den meistgenutzten Funktionen auf etwas mehr als 10 Seiten widmet.
Die interessanteste Erkenntnis bei meinem ersten Überflug war der BApp Store – über den Tab „Extender“ zu finden, sind hier meist kostenlose Erweiterungen für Burp Suite verfügbar. Hier kann man beispielsweise Erweiterungen finden zur Anzeige und Analyse von PDF-Dateien, zur Durchführungen von SQL-Injections und vielem mehr.

#30DaysOfSecurityTesting – 7

Aufgabe 7: Learn one or more things about penetration testing

Penetrationtests und die deutsche Gesetzgebung

Mit Penetrationstests befindet man sich auf sehr dünnem Eis, das sollte der Pen-Test von Erfolge gekrönt sein, augenblicklich bricht. Laut deutscher Rechtsprechung sind Penetrationstests nur erlaubt, wenn der Testdurchführende eine eindeutige Befugnis durch den Eigentümer des Testobjekts besitzt (Quelle: Wikipedia).

Der „gute“ Vorsatz – ich will nur helfen und aufzeigen wo Sicherheitslücken sind – schützt in diesem Fall vor Strafe nicht. Den sobald man unberechtigt an Daten gelangt oder durch den Penetrationstest selbst technische Probleme auftreten (z.B. Serverausfall) ist es ein Fall für deutsche Gerichte. Wie ein Penetrationstest durchgeführt werden sollte, darüber hat das Bundesamt für Sicherheit in der Informationstechnik eine Studie erarbeitet, welches sich an Auftraggeber und Beauftragten gleichermaßen richtet – hier zur Studie.

#30DaysOfSecurityTesting – 6

Aufgabe 6: Explore these sites: Google Gruyere; hackyourself first; ticket magpie; the bodgeit store

Wer sich mit security testing beschäftigt, kommt früher oder später an den Punkt, auch mal was praktisch machen zu wollen. Hmm, wirklich probieren, ob es Schwachpunkte am Bankautomaten gibt und es mehr Geld gibt, als auf dem Konto ist oder probieren ob man per SQL Injection über eine Website ein paar Informationen mehr herausbekommt.

Nein, der bessere Weg sind Google Gruyere und Co. Google Gruyere ist eine Webapplikation, die es erlaubt sich im Finden und Beheben von Sicherheitslücken zu trainieren ohne ins Illegale abzurutschen. Es sind verschieden Schwachstellen integriert, die es zu finden und beheben gilt. Hierbei kann sowohl black box hacking (Angriffe von außen, ohne Zugriff auf den Code) als auch white box hacking (Zugriff auf Source-Code und Möglichkeit von manuellen und automatisierten Schwachstellenanalyse) und deren Kombination geübt werden. Google Grueyere kann ebenfalls lokal installiert werden und dann nach Herzenslaune manipuliert werden.