OWASP ZAP で Playwright を使用する

[nanasess]

概要(Overview・Refs Issue)

OWASP ZAP のペネトレーションテスト自動化で Selenium を使用してクロールしていましたが、最近は Playwright がとても良いということで書き換えてみました。
生産性に大きく貢献できそうですので、Selenium から Playwright へ置き換えていきたいと思います

メリット

• chromedriver のセットアップ不要。 Docker イメージもある
• とてもシンプルに記述できる
  • waitFor... とか勝手にやってくれる
• テストの出力が見やすく、 GitHub Actions 用の reporter もある

デメリット

• 歷史が短い
• もしかしたら、 Selenium を使わないとクロールできないページが出てくるかもしれない
  • Selenium であれば、E2Eテストで使用している Codeception と同等のことができるはず
  • ファイルアップロード、ダウンロードは問題なくできそう

方針(Policy)

• Selenium を Playwright に置き換える

実装に関する補足(Appendix)

• 以下を見てもらうと、簡潔に記述可能なのがわかると思います
  • https://github.com/EC-CUBE/ec-cube/compare/4.1...nanasess:use-playwright?expand=1#diff-31a445b3d1e29c2d0a7ecdf604738a4b7f6b92b29e3414b69bb0b928ae16232c

テスト（Test)

• GitHub Actions が通るのを確認
• 4.0.5 の脆弱性を検出できるのを確認

相談（Discussion）

ぜひご意見ください

マイナーバージョン互換性保持のための制限事項チェックリスト

• 既存機能の仕様変更はありません
• フックポイントの呼び出しタイミングの変更はありません
• フックポイントのパラメータの削除・データ型の変更はありません
• twigファイルに渡しているパラメータの削除・データ型の変更はありません
• Serviceクラスの公開関数の、引数の削除・データ型の変更はありません
• 入出力ファイル(CSVなど)のフォーマット変更はありません

レビュワー確認項目

• 動作確認
• コードレビュー
• E2E/Unit テスト確認(テストの追加・変更が必要かどうか)
• 互換性が保持されているか
• セキュリティ上の問題がないか
  • 権限を超えた操作が可能にならないか
  • 不要なファイルアップロードがないか
  • 外部へ公開されるファイルや機能の追加ではないか
  • テンプレートでのエスケープ漏れがないか

[codecov-commenter]

Codecov Report

Merging #5263 (b92244e) into 4.1 (ef6b938) will decrease coverage by 0.01%.
The diff coverage is n/a.

@@             Coverage Diff              @@
##                4.1    #5263      +/-   ##
============================================
- Coverage     68.45%   68.43%   -0.02%     
  Complexity     6121     6121              
============================================
  Files           461      461              
  Lines         25166    25166              
============================================
- Hits          17227    17223       -4     
- Misses         7939     7943       +4     

Flag	Coverage Δ
E2E	56.71% <ø> (-0.03%)	⬇️
Unit	76.16% <ø> (-0.06%)	⬇️

Flags with carried forward coverage won't be shown. Click here to find out more.

Impacted Files	Coverage Δ
...be/Service/PurchaseFlow/Processor/TaxProcessor.php	70.49% <0.00%> (-3.28%)	⬇️
...orage/Handler/SameSiteNoneCompatSessionHandler.php	88.05% <0.00%> (-2.99%)	⬇️
...ontroller/Admin/Product/ProductClassController.php	80.28% <0.00%> (-0.49%)	⬇️
src/Eccube/Service/PluginApiService.php	47.82% <0.00%> (+0.86%)	⬆️

---

Continue to review full report at Codecov.

Legend - Click here to learn more
Δ = absolute <relative> (impact), ø = not affected, ? = missing data
Powered by Codecov. Last update ef6b938...b92244e. Read the comment docs.

[chihiro-adachi]

@nanasess
ありがとうございます。
特に問題はないと思いますのでマージしました。
いったんPlaywrightで進めてみましょう