Robot Framework ja ZAP web-sovelluksen tietoturvatestauksessa
Romar, Ali (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025120331963
https://urn.fi/URN:NBN:fi:amk-2025120331963
Tiivistelmä
Ohjelmistotestauksen merkitys osana ohjelmistokehityksen elinkaarta on merkittävä niin rahallisesti kuin ajallisesti. Nykypäivän ohjelmistoprojektit ovat mittaluokaltaan ja monimutkaisuudeltaan usein valtavia ja kalliita huolimatta lukuisista työskentelyä tehostavista viitekehyksistä ja malleista sekä nykypäivän tehokkaista automaatio ratkaisuista. Tarve kustannusten karsimiseen on usein kova ja testauksesta leikkaaminen voi tarjota näennäisesti nopean tavan mittaviin säästöihin. Testauksen merkitys ohjelmistokehitysprojekteissa on kuitenkin ensisijaisen tärkeä. Ohjelmistovirheiden pääsy tuotantoon asti voi johtaa ennalta näkemättömän suuriin kustannuksiin ja jopa henkilövahinkoihin.
Testaamisen ollessa pohjimmiltaan riskienhallintaa, on nyky-yhteiskunnassamme tärkeää harkita riskejä erityisesti tietoturvan näkökulmasta. Tietoturvahyökkäysten yleistyessä maailmanlaajuisesti, on jokaisen vastuulla pitää tietoturvasta huolta. Avoimen lähdekoodin ratkaisut tarjoavat varteenotettavia vaihtoehtoja sekä kustannustehokkuuden että tietoturvan näkökulmasta.
Tässä työssä tutustuttiin Robot Framework ja ZAP nimisiin avoimen lähdekoodin työkaluihin, joita hyödynnettiin osana ohjelmistotestausprosessia. Työn tavoitteiden ja tutkimuskysymysten muuttuessa läpi projektin, yhteistyössä Haaga-Helian automaatiotestaus kurssin kanssa tämä opinnäytetyö pyrki lopulta vastaamaan seuraaviin kysymyksiin: Kuinka hyvin Robot Frameworkin ja ZAPin yhteiskäyttö soveltuu junior/opiskelija -tason henkilöstön kouluttamiseen tietoturva- ja ohjelmistotestauksen kontekstissa ja soveltuuko ZAP hyödynnettäväksi Robot Frameworkin kanssa tietoturvatestaamiseen.
Vaikka Haaga-Helia ei toiminut tämän työn tilaajana, työssä luotiin Haaga-Helian automaatiotestaus kurssille harjoituskokonaisuus, joka loppujen lopuksi päädyttiin pääosin demoamaan opiskelijoille. Tämän demon perusteella opiskelijat vastasivat kyselyyn, jonka tuloksia tutkimalla tulkittiin valittujen työkalujen soveltuvuutta koulutustarkoituksiin ja osittain myös Robot Frameworkin ja ZAPin yhteiskäytön soveltuvuutta tietoturvatestaamiseen. Opiskelijoille toteutetun kyselyn lisäksi sekä harjoituspaketin luominen että kurssin opettajan näkemykset tarjosivat täydentäviä näkökulmia tutkimuskysymyksiin vastaamiseen.
Tulosten analyysin pohjalta tehtiin päätelmiä, että valitut työkalut soveltuvat osittain tutkimuskysymyksissä esitettyihin käyttötapauksiin. Työkalujen itsensä ollessaan tehokkaita ja hyvin soveltuvia omiin käyttötarkoituksiinsa, niiden yhteistoimintaa mahdollistavan infrastruktuurin rakentaminen osoittautui odotettua vaikeammaksi. Vaikka molemmat työkalut tarjoavat matalan kynnyksen niin automaatio- ja tietoturvatestauksen toteuttamiseen kuin kouluttamiseen, on niiden yhteiskäytön sovellutuksissa parantamisen varaa.
Testaamisen ollessa pohjimmiltaan riskienhallintaa, on nyky-yhteiskunnassamme tärkeää harkita riskejä erityisesti tietoturvan näkökulmasta. Tietoturvahyökkäysten yleistyessä maailmanlaajuisesti, on jokaisen vastuulla pitää tietoturvasta huolta. Avoimen lähdekoodin ratkaisut tarjoavat varteenotettavia vaihtoehtoja sekä kustannustehokkuuden että tietoturvan näkökulmasta.
Tässä työssä tutustuttiin Robot Framework ja ZAP nimisiin avoimen lähdekoodin työkaluihin, joita hyödynnettiin osana ohjelmistotestausprosessia. Työn tavoitteiden ja tutkimuskysymysten muuttuessa läpi projektin, yhteistyössä Haaga-Helian automaatiotestaus kurssin kanssa tämä opinnäytetyö pyrki lopulta vastaamaan seuraaviin kysymyksiin: Kuinka hyvin Robot Frameworkin ja ZAPin yhteiskäyttö soveltuu junior/opiskelija -tason henkilöstön kouluttamiseen tietoturva- ja ohjelmistotestauksen kontekstissa ja soveltuuko ZAP hyödynnettäväksi Robot Frameworkin kanssa tietoturvatestaamiseen.
Vaikka Haaga-Helia ei toiminut tämän työn tilaajana, työssä luotiin Haaga-Helian automaatiotestaus kurssille harjoituskokonaisuus, joka loppujen lopuksi päädyttiin pääosin demoamaan opiskelijoille. Tämän demon perusteella opiskelijat vastasivat kyselyyn, jonka tuloksia tutkimalla tulkittiin valittujen työkalujen soveltuvuutta koulutustarkoituksiin ja osittain myös Robot Frameworkin ja ZAPin yhteiskäytön soveltuvuutta tietoturvatestaamiseen. Opiskelijoille toteutetun kyselyn lisäksi sekä harjoituspaketin luominen että kurssin opettajan näkemykset tarjosivat täydentäviä näkökulmia tutkimuskysymyksiin vastaamiseen.
Tulosten analyysin pohjalta tehtiin päätelmiä, että valitut työkalut soveltuvat osittain tutkimuskysymyksissä esitettyihin käyttötapauksiin. Työkalujen itsensä ollessaan tehokkaita ja hyvin soveltuvia omiin käyttötarkoituksiinsa, niiden yhteistoimintaa mahdollistavan infrastruktuurin rakentaminen osoittautui odotettua vaikeammaksi. Vaikka molemmat työkalut tarjoavat matalan kynnyksen niin automaatio- ja tietoturvatestauksen toteuttamiseen kuin kouluttamiseen, on niiden yhteiskäytön sovellutuksissa parantamisen varaa.