Ga usah repot-repot ngantri di McD buat ngumpulin Minion.
Kenapa?
Karena Mozilla ngasih Minion gratis buat para developer :P
Maksudnya?
Jadi begini. Mozilla baru-baru ini meluncurkan sebuah open source project yang dinamakan Minion, sebuah platform security testing baru yang dapat diotomatisasi. Walau targetnya untuk para developer, platform ini memungkinkan tim manapun (tim QA, Business Development, UX etc) dapat melakukan setup basic security requirements untuk sebuah aplikasi dan kemudian melakukan scanning dan testing secara otomatis. Tentu saja tim penguji ini harus seting dulu batas-batas treshold untuk plugin-plugin Minion yang akan digunakan.
Minion mudah untuk dioperasikan, yah karena memang tujuannya itu sih. Simple, mudah dipasang, mudah digunakan, mudah untuk di-extend dan cukup fleksibel untuk diintegrasikan ke workflow development ataupun operation apapun.
Cara kerjanya sederhana. Kita login ke Minion dan mulai scanning web app/web service kita. Saat ini ada 3 fitur utama Minion yang bisa kita pakai. Ada port scanner, web fuzzer dan penetration test. Cuman fiturnya ga berhenti di sini saja. Seperti yang saya singgung di atas soal kemudahan untuk extend, kitapun bisa bikin plugin/fitur sendiri. Oleh karena itu, Mozilla sendiri menyatakan kalo Minion ini adalah sebuah Platform bukan security tool.
Secara garis besar ada 3 komponen utama di dalam Minion ini, yaitu:
- Plugins – semacam wrapper yang melakukan tugas-tugas seperti konfigurasi, menjalankan atau menghentikan sebuah skenario tes, menerima serangkaian callback dan memberikan respon jika data callback tadi tersedia.
- Task Engine – inti dari platform ini. Task Engine menyediakan API untuk mengelola Plans (kumpulan dari plugins dan konfigurasi), kumpulan data user, situs dan service serta hasil eksekusi dari Plans (kita sebut saja tes skenario deh) yang telah dijalankan.
- Front End – interface untuk mengoperasikan maupun untuk administrasi si Minion ini.
Gambaran arsitekturnya sebagai berikut:
Nah cerita antara Mozilla dan Minion (yup, bukan minion yang itu he he he) cukup segitu dulu.
Sekarang adalah cerita antara Mozilla dan Blackberry (bukan RIM lagi yah)
Masih terkait dengan security, Mozilla berkolaborasi dengan Blackberry di Peach, sebuah proyek framework fuzzing open source. Supaya ga pusing dengan istilah Fuzzing, coba baca-baca di sini dulu deh. Ga jauh-jauh dari Minion, intinya adalah metode untuk melakukan otomatisasi testing security.
Nah, Mozilla dan Blackberry ini sama-sama menggunakan metode fuzzing dengan sangat intensif untuk menguji produk-produk mereka. Mozilla menggunakan Peach untuk melakukan testing terhadap fitur-fitur HTML5 (format gambar, format audio/video, font, API multimedia seperti WebGL dan WebAudio serta protokol yang dipakai WebRTC). Tuh, jadi para pengguna Firefox maupun FirefoxOS bisa lega :) Kerja sama dengan Blackberry diharapkan dapat menyempurnakan Peach Fuzzing framework untuk menguji web browser. Framework ini akan memberikan invalid (seringnya juga random) data pada sebuah program (dalam hal ini adalah browser) dan mencari-cari apakah data-data ga benar tadi itu membuat si browser bermasalah, crash dan sejenisnya yang mengindikasikan adanya memory leaks atau masalah security.
- Introducing Minion
- Security/Projects/Minion
- Mozilla’s giving you a free Minion for developer-first security
- Mozilla Continues to Build the Web as a Platform for Security
- Mozilla teams up with BlackBerry to secure browsers via fuzzing, launches automated testing platform Minion
- Security/Fuzzing/Peach