Scheduling
EC-CUBEのペネトレーションテストを実施する上で、EC-CUBE に関する知識と、セキュリティに関する専門知識が重要になってきます。
一部、特殊な遷移をする機能があったり、ファイルアップロードや、 Ajax で実現している機能などがあり、セキュリティテストの難易度を上げる要因となります。
このドキュメントで、できる限り補足をし、セキュリティテストの敷居を下げていきたいと思いますが、以下を目安にスケジュールを策定すると良いと思います。
もちろんテスト担当者のスキルにより、必要な工数は前後します
- テストについての概要把握と環境構築 - 1〜2人日
- 管理画面側テストの実施 - 2〜3人日
- フロント側(ログイン)テストの実施 - 2〜3人日
- フロント側(ゲスト)テストの実施 - 2〜3人日
- ファイルアップロード等、特殊な機能のテスト実施 - 1〜2人日
- レポートの精査、テスト報告資料の作成 - 2〜3人日
必要に応じて、テスト計画のフェーズや、脅威モデリング等といったテスト設計を含めると、さらに工数は膨らみます。
ペネトレーションテストは、開発工程の最終段階に実施されることが多いです。 スケジュールが圧迫され、疎かにならないよう余裕を持ってスケジューリングしましょう。