Tietoturvatestauksen automatisointi sovelluskehityksessä
Hautamäki, Eevertti (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025051913201
https://urn.fi/URN:NBN:fi:amk-2025051913201
Tiivistelmä
Opinnäytetyön tavoitteena oli mallintaa ja pilotoida tietoturvatestauksen automaatioratkaisu osaksi ohjelmistokehitystä Lemonsoft Oyj:lle. Työn tarkoituksena oli kartoittaa tietoturvatestauksen automatisoinnin vaatimukset sekä arvioida teknisesti ja taloudellisesti sopiva ratkaisu Lemonsoftin tarpeisiin.
Tutkimus toteutettiin suunnittelutieteellisen tutkimusotteen (design science research, DSR) mukaisesti. Tiedon keräämisessä käytettiin puolistrukturoituja asiantuntijahaastatteluja, joista koottiin vaatimukset automatisoidulle tietoturvatestaukselle. Ratkaisuvaihtoehdoista vertailtiin kolmea työkalua (Snyk, SonarQube ja ZAP), joista ZAP valittiin pilotoitavaksi dynaamisen sovellustestauksen (DAST) välineenä. Varsinaista testiautomaatiota ei toteutettu, mutta ZAP-työkalun soveltuvuutta arvioitiin manuaalisen testauksen kautta Lemonsoftin kehitysympäristössä. Testien havainnot dokumentoitiin ja analysoitiin suhteessa vaatimuksiin.
Tulosten perusteella ZAP osoittautui toimivaksi ja kustannustehokkaaksi vaihtoehdoksi, joka täytti määritellyt vaatimukset toiminnallisuuden, raportoinnin ja laajennettavuuden näkökulmista. Työ osoitti, että automatisoitu tietoturvatestaus on mahdollista integroida osaksi jatkuvaa julkaisuprosessia ilman merkittävää kehitystyön hidastumista. Vaikka testiautomaatio ei teknisesti toteutettu, manuaaliset testit toivat arvokasta tietoa työkalun soveltuvuudesta. Jatkokehityksessä suositellaan automatisoidun ZAP-integraation toteuttamista Azure DevOps -ympäristössä.
Tutkimus toteutettiin suunnittelutieteellisen tutkimusotteen (design science research, DSR) mukaisesti. Tiedon keräämisessä käytettiin puolistrukturoituja asiantuntijahaastatteluja, joista koottiin vaatimukset automatisoidulle tietoturvatestaukselle. Ratkaisuvaihtoehdoista vertailtiin kolmea työkalua (Snyk, SonarQube ja ZAP), joista ZAP valittiin pilotoitavaksi dynaamisen sovellustestauksen (DAST) välineenä. Varsinaista testiautomaatiota ei toteutettu, mutta ZAP-työkalun soveltuvuutta arvioitiin manuaalisen testauksen kautta Lemonsoftin kehitysympäristössä. Testien havainnot dokumentoitiin ja analysoitiin suhteessa vaatimuksiin.
Tulosten perusteella ZAP osoittautui toimivaksi ja kustannustehokkaaksi vaihtoehdoksi, joka täytti määritellyt vaatimukset toiminnallisuuden, raportoinnin ja laajennettavuuden näkökulmista. Työ osoitti, että automatisoitu tietoturvatestaus on mahdollista integroida osaksi jatkuvaa julkaisuprosessia ilman merkittävää kehitystyön hidastumista. Vaikka testiautomaatio ei teknisesti toteutettu, manuaaliset testit toivat arvokasta tietoa työkalun soveltuvuudesta. Jatkokehityksessä suositellaan automatisoidun ZAP-integraation toteuttamista Azure DevOps -ympäristössä.