CATS 开源项目使用指南

1. 项目介绍

CATS（Contract API Testing and Security）是一个用于 OpenAPI 端点的 REST API Fuzzer 和负测试工具。它能够自动生成、运行和报告测试，几乎不需要配置和编码。测试是自愈的，不需要维护。CATS 的主要特点包括：

• 自动生成测试：基于 OpenAPI 规范自动生成测试用例。
• 自愈测试：测试用例能够自动适应 OpenAPI 规范的变化。
• 高度可配置：支持多种自定义选项，如过滤特定 Fuzzer、HTTP 响应码、HTTP 方法等。
• 简单易学：学习曲线平缓，配置简单直观。
• 快速高效：能够在几分钟内生成和运行数千个测试用例。

2. 项目快速启动

2.1 安装

2.1.1 使用 Homebrew（适用于 macOS 和 Linux）

brew tap endava/tap
brew install cats

2.1.2 手动安装

CATS 提供了可执行的 JAR 文件和原生二进制文件。原生二进制文件不需要 Java 环境。下载对应操作系统的原生二进制文件后，可以将其添加到 PATH 中：

sudo cp cats /usr/local/bin/cats

你还可以通过下载 cats_autocomplete 脚本来启用自动补全功能：

source cats_autocomplete

为了持久化自动补全功能，可以将上述命令添加到 ~/.zshrc 或 ~/.bashrc 文件中。

2.1.3 使用 Java 运行 JAR 文件（适用于 Windows）

确保已安装 Java 17+，然后运行以下命令：

java -jar cats.jar

2.2 快速启动

以下是一个简单的快速启动示例，假设你已经安装了 CATS：

cats --contract=your-openapi-spec.yaml --server=http://your-api-server.com

这个命令将根据指定的 OpenAPI 规范文件和 API 服务器地址自动生成并运行测试。

3. 应用案例和最佳实践

3.1 测试 GitHub API

CATS 可以用于测试各种 REST API，包括 GitHub API。以下是一个简单的示例：

cats --contract=github-openapi.yaml --server=https://api.github.com

3.2 编写自愈功能测试

CATS 支持编写自愈功能测试，无需编码。你可以通过配置文件定义测试场景，CATS 会自动生成并运行这些测试。

3.3 发现 Bug

CATS 已经帮助多个开源项目发现了 Bug，例如：

• hashicorp/vault#13274
• hashicorp/vault#13273
• go-gitea/gitea#19397

4. 典型生态项目

CATS 作为一个 REST API Fuzzer 工具，通常与其他 API 测试和安全工具一起使用，形成一个完整的 API 测试生态系统。以下是一些典型的生态项目：

• Postman：用于手动和自动化 API 测试。
• Swagger UI：用于可视化 OpenAPI 规范。
• OWASP ZAP：用于 API 安全测试。
• JMeter：用于性能测试。

通过结合这些工具，可以构建一个全面的 API 测试和安全解决方案。