背景信息:央视:彩票站的惊天秘密,站主利用漏洞中奖2800万,2011年11月24日...本案例的主人公利用漏洞,知道中奖号码后在买,5分钟漏洞造就2800万神话,数千次兑奖福彩未察觉。
看到这个新闻,不由得让从事软件测试的我们引发很多思考,从某种意义上来说,我不得不佩服这个站主的思维方式,很显然的是,整个福彩的软硬件系统肯定是经过相对严格的软件测试和硬件测试的。那为什么还有出现这么低级的“软件漏测”呢?到底是软件测试的意识有问题?软件测试工程师的责任心有问题?还是软件测试需求分析与设计有问题?(也就是说根本就没有想到这一点?)还是软件测试管理层面的问题?但是不管是哪一个方面的问题,这个事件注定会给整个彩票行业带来深刻的反省和思考,也会给软件行业带来反省和思考,更会给软件测试带来反省和思考。这个联想到淘宝将很多卖家“商品价格被改为1元”软件故障事件来看,不由让人胆寒。在软件测试行业里面来看,相对于其他企业而言,阿里巴巴集团包括淘宝都是比较重视软件测试的,从51Testing企业招聘板块也经常可以看到他们的招聘信息。从这一点来看,中国软件质量、中国软件测试任重而道远。
分析这两个事情,我发现这里面最根本的问题还是解决软件测试质量根本之道的软件测试需求分析与软件测试设计,一个企业重视测试还是不重视软件测试,软件测试做得好还是不好,第一步也是最重要的一步是解决What to test和How to test。而不是盲目地去做自动化,盲目的测试开发。对于一个优秀的测试工程师而言,首先也是必须要会的就是测试分析与设计。那么接下来,我们来分析下,怎么样才能做好软件测试需求分析与软件测试设计。从福彩的这个漏洞来看,是站主利用了这个漏洞,而不是普通的彩民。那为什么会这样呢?我臆想下,可能当初在测试整个系统的时候更多的是从买彩票的彩民的角度来测试,本没有过多考虑到彩票站站主这样一类用户。在做好软件测试需求分析相关的方法论上有一种方法叫做“关联图分析法”这种方法简单地来说,是从不同的“用户类”的角度来思考,所谓用户类用户类不一定指人,可以把其他应用程序或者系统接口所用到的硬件组件也可以看成是附加用户类成员。有一些受产品影响的人并不一定是产品的直接使用者,而是通过报表或者其他应用程序访问产品的数据和服务,比如站长是区别与彩民之外的另一类用户类。用户类可以是执行者,也可以是应用软件、系统硬件、目标实体、接口实体或者三维空间、时间等等。应用软件:是指用户通过其他软件来操作被测特性的软件。系统硬件:理解范围可以宽些,系统有硬件和软件组成,直接影响被测特性运行的硬件都认为是系统硬件。目标实体:可以理解为影响被测特性的公共模块或者实体。接口实体:是指和被测特性有关联的外界接口实体。三维空间、时间:可以理解为时间、空间、环境对被测特性的影响。比如:这个案例里面的福彩系统在开奖一段时间内在检查。更通俗地说,我们测试一个系统,要关注的是全方位的,比如这个系统影响了谁?谁在用这个系统?谁为这个系统提供数据?谁来维护系统?这个系统在特殊的时间下是否有特殊的用户行为等?
当然这个案例很容易想到要用这一种方法,其实软件测试的方法和很多,好比软件测试武功的武功秘籍,最重要的是掌握的方法要全面,并且要知道每一种方法的优点、缺点、适应范围,就好比跆拳道中短距离进攻优势很明显,泰拳靠的是力量,柔术一定是贴身的,太极靠的是借力打力的套路。下面一个图可以帮助大家更清晰地了解软件测试的技术体系,其中包括最为重要的方法论体系。
本文出自seven的测试人生公众号最新内容请见作者的GitHub页:http://qaseven.github.io/
