Scheduling

EC-CUBEのペネトレーションテストを実施する上で、EC-CUBE に関する知識と、セキュリティに関する専門知識が重要になってきます。

一部、特殊な遷移をする機能があったり、ファイルアップロードや、 Ajax で実現している機能などがあり、セキュリティテストの難易度を上げる要因となります。

このドキュメントで、できる限り補足をし、セキュリティテストの敷居を下げていきたいと思いますが、以下を目安にスケジュールを策定すると良いと思います。

もちろんテスト担当者のスキルにより、必要な工数は前後します

  • テストについての概要把握と環境構築 - 1〜2人日
  • 管理画面側テストの実施 - 2〜3人日
  • フロント側(ログイン)テストの実施 - 2〜3人日
  • フロント側(ゲスト)テストの実施 - 2〜3人日
  • ファイルアップロード等、特殊な機能のテスト実施 - 1〜2人日
  • レポートの精査、テスト報告資料の作成 - 2〜3人日

必要に応じて、テスト計画のフェーズや、脅威モデリング等といったテスト設計を含めると、さらに工数は膨らみます。

ペネトレーションテストは、開発工程の最終段階に実施されることが多いです。 スケジュールが圧迫され、疎かにならないよう余裕を持ってスケジューリングしましょう。