Build-Pipelines und Testen - STUGHH 23.09.2021

Unser virtuelles Software-Test User Group Hamburg Treffen hatte das Thema “Build-Pipelines und Testen”. Gemeinsam mit Andreas Kühl hatte ich das Vergnügen, ein wenig über Erfahrungen mit CI/CD Pipelines zu berichten und mit den Teilnehmern ins Gespräch zu kommen.

Mein Foliensatz findet ihr hier: Präsentation QA in CI/CD Pipelines (PDF)

Qualitätskriterien für Pipelines

Keeping Developers Happy with a Fast CI - Artikel im Shopify Engineering Blog

Statische Analyse

SonarQube bzw. SonarCloud - Verbreitete Software zur statischen Analyse (Open Source & Commercial)

Wikipedia Liste mit Tools - Hier wird eigentlich jeder fündig

Dependency Checks

OWASP Dependency Check - OWASP Tool zur Abgleich von 3rd Party Komponenten mit der National Vulerability Database.

GitHub Dependabot Alternative von GitHub

Test Impact Analysis

The Rise of Test Impact Analysis - Paul Hammant bei Martin Fowler über TIA.

Jest Option lastCommit - Das JavaScript Test Framework Jest kann einen Lauf auf geänderte Dateien einschränken.

Weitere QA Komponenten für Pipelines

ZAP Baseline Scan - OWASP Zed Attack Proxy Scan für übliche Schwachstellen

Accessibility Check - Maschinelle Tests auf Barrierefreiheit (mit Pa11y oder Lighthouse)

Tipp des Tages von Andreas

JUnit 5 Annotation Type Tag - Ermöglicht Traceability und zielgerichtete Testläufe

Tipp aus dem Publikum

CodeScene - Ein neuer Ansatz zur statischen Analyse, der das Verhalten des Team einbezieht