🧪 Phase 4: Test

Sicherheitsrelevante Tests müssen fester Bestandteil der Pipeline sein – nicht als nachgelagerte Aktion, sondern integriert, risikobasiert und nachvollziehbar. DevSecOps differenziert dabei zwischen statischen, dynamischen und strukturellen Tests.

🔍 Was passiert in dieser Phase?

  • Statisches Testen des Codes (SAST) auf Schwachstellen
  • Dynamisches Testen laufender Dienste (DAST) in Stage/Canary
  • Scans von Konfiguration, IaC & Helm-Charts auf Misconfigurations
  • Policy Validation (OPA, Kyverno) vor dem Deploy

đź›  Tools & Scanner

  • SAST: Semgrep, SonarQube, CodeQL
  • DAST: OWASP ZAP, Nuclei, Burp Suite (CI)
  • IaC: Checkov, TFSec, KICS
  • Policy Engines: OPA Gatekeeper, Kyverno, Conftest

đź“Ś Empfehlung

Automatisiere Security Tests in Stage/CI/CD – priorisiere risikobasiert, berichte anschaulich und integriere Feedback direkt in den Dev-Flow.

⬅️ Zurück zur Lifecycle-Übersicht

⬅️ Zurück zu Phase 3 – Build

⏭ Weiter zu Phase 5 – Release & Deploy