# Testplan – Projekt <Name>

## Ziel & Umfang
- Abgedeckte Releases: <Release-Zyklen oder Sprint-Nummern>
- Komponenten: Backend API, Frontend SPA, Mobile App
- Sicherheitsrahmen: ISO 27001 Annex A.8.29, OWASP ASVS Level 2

## Verantwortlichkeiten
| Aufgabe                      | Rolle/Ressource            | Nachweis |
|-----------------------------|----------------------------|----------|
| SAST Ausführung             | DevOps Engineer            | CI Job   |
| DAST Review                 | Security Champion          | Ticket   |
| Dependency Scans            | Backend Engineer           | Pipeline |
| Penetrationstest Freigabe   | Product Owner              | Report   |

## Testarten & Tools
- SAST: `sonar-scanner` im Merge-Request (`.gitlab-ci.yml` Stage `security`).
- DAST: `owasp-zap-baseline` gegen Staging (wöchentlich, Ticket bei Findings > Medium).
- Dependency Scans: `trivy fs` und `npm audit --audit-level=high` pro Commit.
- Container Scans: `trivy image` vor dem Release-Tag.
- Infrastruktur (IaC): `checkov` auf Terraform-Module (`infra/`).
- Manuelle Reviews: Security Champion prüft kritische Merge Requests (>500 Zeilen Diff).

## Abnahmekriterien
- Keine offenen High/Critical Findings; Medium Findings benötigen Risikoabwägung + Ticket-Link.
- Testabdeckung (Unit/Integration) ≥ 70 % gemessen mit `jest --coverage` / `mvn clean verify`.
- DAST-Scan innerhalb der letzten 7 Tage vor Go-Live.
- Penetrationstest-Report nicht älter als 12 Monate.

## Reporting & Eskalation
- Jenkins/GitLab Job `security-report` erzeugt `scan-reports/<datum>/summary.md`.
- Monatliche Zusammenfassung in `docs/reports/security-monthly-<YYYY-MM>.md`.
- Eskalationen gemäß [Eskalationsmatrix](/docs/glossar/#eskalationsmatrix).

## Review-Zyklus
- Review alle 90 Tage oder bei größeren Architekturänderungen.
- Owner: Security Champion (alice@example.com)
- Letzte Aktualisierung: `<YYYY-MM-DD>` (bei Anpassung aktualisieren).