Comments 1
Tunnel vision есть и в автоматизации тестирования но выглядит немного иначе: когда пишешь тесты по тому же спеку который тестируешь, кодируешь те же слепые пятна что и спек. Второй тестировщик это лечит, но не всегда есть команда.
В своём проекте столкнулась с похожим: IDOR на GET /appointments/:id не поймали API тесты написанные по контракту - нашли отдельно, при security ревью. Контракт описывал что вернуть, но не говорил кому можно смотреть чужую запись. Тест воспроизвёл то же слепое пятно.
Peer testing и security audit решают одну задачу разными инструментами - добавить взгляд который не знает как система должна работать.
Sign up to leave a comment.
Peer testing на основе Закона Линуса