Agilitest permet d'enregistrer des variables qui sont ensuite cryptées dans des fichiers ATS .
Comment gérer les mots de passe cryptés
Cela leur permet de ne pas apparaître en texte clair dans les fichiers, ni dans l'interface d'édition des tests.
Vous pouvez accéder à l'utilisation d'un mot de passe crypté grâce au raccourci situé dans les touches spéciales lors de la saisie de texte.
Ils peuvent également être gérés dans le menu "Propriétés du projet".
Cliquez sur « Ajouter » et entrez un nom et une valeur.
Par la suite, la valeur peut être récupérée dans ATS comme une variable normale à l'aide du mot-clé $pass(variable).
Ce qui diffère de la gestion normale des variables :
- Les mots de passe ne sont pas imprimés dans l'interface utilisateur de l'éditeur, sauf dans le menu d'édition.
- Ils ne sont pas visibles dans les fichiers ATS , pas même leurs déclarations.
- Ils n'apparaissent pas dans les fichiers ATSV.
- Ils n'apparaissent pas dans les logs et les journaux générés par Agilitest et ATS.
- Chaque variable déclarée à l'aide des variables $pass() est traitée de la même manière.
Quand utiliser des mots de passe cryptés ?
Nous vous recommandons d'utiliser des mots de passe cryptés lorsque vous ne pouvez pas faire autrement.
Par exemple, nous vous déconseillons d'effectuer vos tests avec des comptes utilisateurs réels qui se trouvent dans vos équipes en cryptant les mots de passe. La solution que nous vous recommandons est de créer des utilisateurs dédiés aux tests et ayant leurs propres privilèges, si possible limités.
Si vous ne pouvez pas faire autrement, par exemple si vous devez tester le compte administrateur, nous vous conseillons de le faire sur des environnements similaires à la production mais sécurisés différemment (par exemple physiquement dans vos locaux).
Enfin, si vous testez sur des systèmes qui sont dans le cloud, vous ne pourrez pas faire autrement, et dans ce cas, nous vous conseillons de compléter ce dispositif, par exemple en passant par des protocoles de transfert sécurisés comme https ou en utilisant des mots de passe à usage unique délivrés par un serveur sécurisé.
Fonctionnement technique des mots de passe
Les mots de passe sont cryptés dans Agilitest.
Le chiffrement des mots de passe avec ATS la norme AES (Advanced Encryption Standard) en mode CBC (Cipher Block Chaining) avec PKCS5Padding, qui est un algorithme de chiffrement symétrique. Par conséquent, une clé secrète est utilisée pour le chiffrement des mots de passe.
Par défaut, cette clé secrète (si rien n'est fait ou modifié) aura la valeur suivante : «ats_key_crypto-1»
Cette utilisation des clés est suffisante dans le cas d'un environnement d'entreprise suffisamment sécurisé avec des utilisateurs d'un projet ATS .
Chaque mot de passe sera crypté dans son propre fichier, situé dans le répertoire : src/assets/secret avec l'extension atsc (exemple : mypassword.atsc).
Le mécanisme est conçu pour permettre le partage des mots de passe entre tous les utilisateurs d'un projet ATS, mais également dans le cas d'une exécution en intégration continue.
Cette clé secrète peut être modifiée de deux manières :
- En ajoutant cette clé au fichier .atsProjectProperties pour chaque projet, en plaçant une autre clé de chiffrement secrète dans la propriété « atsKey ».
- En définissant une variable d'environnement appelée "ATS_KEY" au niveau du système d'exploitation avec la valeur de la clé secrète utilisée pour le chiffrement des données.
🔶Avertissement
Lorsque vous utilisez la variable d'environnement, il est essentiel de définir cette variable d'environnement avec la clé correcte sur les machines des concepteurs de tests et sur les machines d'exécution des tests. Sinon, les données ne seront pas déchiffrées.
