Во-первых, не стоит попрекать человека тем, что он работал учителем музыки (или водителем или бухгалтером или продавцом пылесосов) в прошлом.
Во-вторых, есть разные уровни изложения материала. Не стоит упрекать учителя начальной школы, если он говорит детям, что из меньшего числа нельзя вычитать большее. Можно, но об этом дети узнают чуть позже. А на определённом уровне изложения не только можно, но и нужно так говорить.
Да, статьи Джековни ориентированы "на новичков", поэтому там многие вещи остаются недосказанными. С моей точки зрения в этом нет ничего плохого.
Давайте разберём конкретные замечания к этой статье.
1) "Джеквони замахнулась на тестирование безопасности" -- нет, не замахнулась, она замахнулась на "способ подтолкнуть вас к размышлениям о большом количестве тестов, которые можно прогнать, тестируя единственное поле", и среди прочего упоминает, что можно выполнить тесты, которые более опытный тестировщик отнесёт к области тестирования безопасности, но новичок должен хотя бы понять, что такие тесты надо выполнять и почему их надо выполнять.
2) "код типа "скрипт" не должен попасть в базу данных иначе это считается атакой" -- это было в другой статье, и там она тоже никого не обманула, такой способ валидации тоже встречается на практике. Иногда, действительно, используются и другие способы защиты от XSS, и тот факт, что Jira использует другой способ, никоим образом не обесценивает метод защиты "удалением скриптов".
А что написано в этой статье?
Попробуйте межсайтовый скриптинг – введите такой скрипт: <script>alert("I hacked this!")</script>. Если при нажатии на Submit появится всплывающее окно – значит, поле уязвимо для XSS-атаки.
Это же правда (хотя и не вся правда), если появится всплывающее окно -- уязвимость действительно есть (другое дело, что если не появится -- это ещё не значит, что уязвимости нет, но это уже другой уровень!)
3) "РЕСТ протокол будет полностью открыт" -- в статье вообще не упоминается про REST, опять таки, это совершенно другой уровень! Более того, если бы она написала про REST -- вы бы поворчали, что этого мало, почему про WebSockets ничего не написала, ведь там будет протокол полностью открыт. Всегда можно найти то, про что ещё автор не сказал.
4) "сразу начинает ломать поле" -- статья про валидацию! Поэтому она показывает, какие тесты можно сделать для проверки валидации. А не для проверки функции, в которой это поле как-то участвует. Может быть это недостаточно хорошо подчёркнуто, не выделено жирным шрифтом. Но мне кажется, что это ясно видно из первого абзаца. Поэтому говорить о том, что "она забыла протестировать фичу" в данном контексте совершенно неправильно.
Я совершенно не понимаю, почему к "популяризационным" текстам надо относиться с сарказмом. Целью популяризации является именно упрощённое изложение, которое подталкивает людей к появлению новых мыслей и более глубокому изучению вопроса после того, как человек осознает -- "надо же, а я вообще об этом не задумывался". Если популяризационные тексты будут глубокими и сложными -- они не будут достигать своей цели.
Ну а если хотите написать лучше, чем Джеквони -- пишите, мы с удовольствием будем публиковать! В том числе и сложные тексты (но не слишком сложные :))