<<有赞测试读后感>>

有赞测试读后感:
直接步入正题,说下我个人理解,和他们的差距:

1.高效的协作(PTM角色),全程跟踪:

项目协作
2.产品质量总结以及制定产品质量考核:
监控产品质量,从时间控制的角度来说,开发新功能和修bug是一个平衡。开发得太快就可能把交付给下一个阶段一个问题较多的版本,从而使得后面的问题更难处理。我们如何知晓每个阶段软件质量怎么样?具体的方法很多,回归测试,代码覆盖、压力测试等等。但是这些信息谁来收集和分析,怎么分析,能得出什么样的结论,怎样对RD的质量进行考核?

3.自动化覆盖率以及自动化工具:

有赞的自动化测试,从文章看来,在深度和广度都有一定的积累,比如UI、http接口、MOCK接口自动化覆盖率,深度上,他们有一套较为完整的测试工程(部分自研),广度上,在功能测试,性能测试,安全测试都有一定的体现。

4.监控系统:

随着系统网络拓扑与业务场景越来越复杂,发布频率越来越高,我们需要知道当前系统中核心业务场景的健康情况,目前我们OP开始设计并实施进程级别的监控告警,以及应用程序级别的ERROR监控。
4.定期组织业务分享,提高测试、开发人员的业务全局观及跨业务耦合与风险评估能力
5.提供《异常测试基本场景》指导测试人员如何考虑异常。

通过-Rational-AppScan 如何应对网站攻击

IBM-Rational-AppScan 正是应对这一挑战的利器。

如下图所示,Rational AppScan 工作方式比较简单,就像一个黑盒测试工具一样,测试人员不需要了解 Web 应用本身的结构。AppScan 拥有庞大完整的攻击特征库,通过在 http request 中插入测试用例的方法实现几百中应用攻击,再通过分析 http response 判断该应用是否存在相应的漏洞。整个过程简单易懂高效,测试人员可以快速的定位漏洞所在的位置,同时 AppScan 可以详细指出该漏洞的原理以及解决该漏洞的方法,帮助开发人员迅速修复程序安全隐患。对于攻击的特征以及测试用例用户不需要花费大量的精力,WatchFire 团队定期的对特征库进行更新,随着保证与业界的同步,最大化的提高用户的工作效率。

图 4.-Rational-AppScan 工作示意图

111

下面我们通过简单的实例介绍一下-Rational-AppScan 的使用:

定义扫描

首先确定扫描站点的 URL,根据默认的模板配置向导,确定扫描的整个站点模型以及你想扫描的漏洞种类。例如,我想扫描企业应用 www.xxx.com,想根据默认值扫描是否有安全隐患,启动 AppScan,创建一个扫描,敲入 www.xxx.com; 根据配置向导直至完成。

图 5. 默认的模板配置向导

222

图 6. 创建一个扫描

33

扫描启动,进行测试

只需要点击执行。

扫描结果查看

如图所示,AppScan 以各种维度展现了扫描后的结果,不仅仅定位了问题发生的位置,也提出了问题的解决方案。

图 7. 扫描后的结果

44