这是5月份和公司同仁做的分享,分享主题是关于测试,是我自己对于测试的一些认知,以及态度的转变。
目录
-
以怎样的心态面对测试
-
安全测试贯穿整个软件生命周期
-
总结
以怎样的心态面对测试
提问大家几个小问题:
你喜欢测试吗?
对于开发和测试的工作,我们假设待遇等等方面一切相同, 你优先会选择哪一个?
其实我个人很不喜欢测试,为什么今天又要和大家分享测试 这一话题呢?
主要原因是因为这段时间经历网站上线,对于客户测试提出 的一些问题,让我感受到了我们作为开发人员的一些欠缺。
为什么测试人员可以测试出来的问题,我们自己测试不到呢?
这时就有一些声音出来了
开发人员测自己写的东西,肯定会有盲点了
这句话没错,确实会有 但对于我们来说,还会有一个很致命的弱点,那就是我们常 常会自认为自己写出来的东西一定是非常完美的,一定是没 有问题的,我想大部分开发人员都是这
样,我也一样,我有 时候也会这么想
从而导致我们会忽略测试,认为测试没有那么重要,没有那 么认真的去对待测试
其实在我们公司,对于测试这一块做的挺好的,我们有自测 、互测、整合测试,既然都已经测试三轮了,为什么还会有 问题?原因是什么?这些都是我们大家需要去反思的一个问 题。
而今天我想传达的一个理念就是,我们作为开发人员应该也 必须要去了解,作为一个测试人员,他们是以什么样的视角 来看待我们所开发出来的软件,他们关注的点是什么,他们 认为
什么样的软件才是没有问题的,掌握了这些,才能让我 们更好的去开发,去避免我们之前开发中遇到的一些盲点。
安全测试贯穿整个软件生命周期
又有问题要问了
什么是安全测试?
安全测试很重要吗?
安全测试,听起来很高大上,应该很难吧,应该只有专业 人员才能做到吧?
要怎么来做安全测试呢,有什么流程吗?
对于安全测试,我们大部分的都是选择第三方测试机构, 进行渗透测试,其实可以想一下,有哪一个网站不经过最后 的渗透测试就可以上线的,会有吗?
其实每一个公司都很依赖渗透测试,它是网站上线前的最后 一道屏障,是保障网站安全的唯一方法。
大家都知道渗透测试一般都是在产品功能已经实现了,测试 也通过了,基本上都封板了的时候才会去做的事情。我们换 个角度思考一下,如果我们把测试出来的安全问题换一个称 谓,
叫做功能缺陷,或者系统Bug,对于这些类型的问题, 我们会等到网站即将上线前才去检查、测试,然后再去处理 吗?
答案一定是No
对于这些功能性的Bug,我们一定是希望越早发现越好
渗透测试除了测试时机太晚之外,它还是有很多不足的。
比如说速度慢,虽然说有自动化的测试工具,但是要进行 全面、深入的测试,还是需要好几天的时间的,甚至更长。
比如说成本问题,做一次渗透测试的成本是很高的,小到 几万,大到几十万,甚至更多,为了做一次渗透测试,动 不动花费几十万的支出,这也不是每一个团队都能承受的。
比如。。。
既然渗透测试有那么多不足之处,那我们还有其它什么 办法吗?
其实最好的办法就是在整个软件开发周期内,我们就一直 关注安全问题,现在称之为BSI(Build Security In)。 比如说我们在提业务需求,就应该添加对于安全问题的考 虑,像我们上海
的客户,他们在提需求就添加对这一块的 考虑
补充部分:
BSI是什么?
开发出来的软件中不可避免的存在安全问题,尽管我们已经 采纳了很多措施加以应对,例如设立安全编码规范、成立专 门的安全团队、聘用第三方安全公司进行渗透测试等等,可 是这
些措施的效果值得商榷。虽然表面看上去能解决眼前的 安全问题,但背后往往隐藏着更加深层次的矛盾,阻碍企业 构建更加安全的软件。
BSI所传递的一种理念:
将安全融入整个软件开发过程中
所有团队成员一起为安全负责
安全的设计和实施是一个持续进行的过程
总结
这次的分享,是我这段时间工作带给我的一些感受和启发, 我希望大家都可以调整心态,正确的认识测试。
其实对于我个人来说,最初刚开始接触这个行业,刚开始编 程的时候,我考虑的点很简单,功能实现就好; 经过做的第一个需求,让我懂得了开发软件,还要考虑软件 友好性的问题;
再后来功能实现对于我来说,已经不是难事了,此时我开始 去考虑性能问题,如果我们是在做应用程序,客户也不会特 别的要求,但如果你是在做网站,对于性能的考虑就显得尤 为重
要;
一直到现在,我也会去考虑一些安全方面的问题,虽然对于 这方面我了解的还比较浅显,但是会继续去学习,去深入了 解和掌握。
我的一个经历,其实也是已经经历过这个过程,或者说 正在经历这个过程的各位,希望我们共同努力,共同成 长,让我们变得越来越好,感恩大家。
(PS:有阅读ThoughtWorks洞见里面的博文,内容不错,感谢分享)
写于2017年5月23日
Anne