Web應用軟件測試過程.doc

Web應用軟件測試過程摘要：隨著Web系統(tǒng)被廣泛應用于工作和生活的各個方面，Web系統(tǒng)的產(chǎn)品質量也逐漸引起重視，本文將從對Web應用系統(tǒng)的運行特點分析入手，探討一套完整的Web應用軟件測試方案，以及相應的軟件測試技術。關鍵詞：Web應用系統(tǒng)，軟件測試一、引言隨著互聯(lián)網(wǎng)技術的飛速發(fā)展，Web系統(tǒng)被廣泛應用于各個領域，其開放性、易用性的特點促使其應用被越來越多公眾所接受，同時也促使其產(chǎn)品質量面臨更嚴峻的挑戰(zhàn)。Web系統(tǒng)軟件具有功能涉及范圍廣、用戶量大、用戶類型廣泛、易受攻擊等特點，本文將從這些特點入手，探討Web應用軟件測試過程中的軟件測試技術以及質量保證手段。一個完整的Web應用軟件測試可以從功能測試、易用性測試、性能測試和安全性測試四個方面入手。二、功能測試功能測試是驗證軟件需求的滿足程度和軟件組成部件接口正確性的最有效方法。Web應用系統(tǒng)通常集成了眾多關聯(lián)業(yè)務，以數(shù)據(jù)共享的形式推進業(yè)務。功能測試可以以業(yè)務為核心進行測試。1. 業(yè)務流程測試：功能測試以業(yè)務流程為核心，針對每套業(yè)務操作畫出業(yè)務流程圖，繪制方法類似于程序的控制流圖：每一個結點表示一個執(zhí)行動作，箭頭表示業(yè)務流程的控制方向，一條邊必須終止于一個結點，例如，某單位員工的出差審批流程如圖1：圖1 出差審批流程圖在流程圖中，一條獨立路徑是指包括一組以前沒有處理的語句或條件的一條路徑，獨立路徑的集合可確保流程圖中的每個可執(zhí)行動作至少覆蓋一次，每個條件的取真和取假分支也能得到覆蓋，構成基本路徑集的一組獨立路徑如下：路徑1：擬稿部門主管審批單位主管審批返回擬稿人結束；路徑2：擬稿部門主管審批單位主管審批返回擬稿人借款辦理返回擬稿人結束；路徑3：擬稿部門主管審批單位主管審批返回擬稿人報銷辦理結束；路徑4：擬稿部門主管審批終止流程結束；路徑5：擬稿部門主管審批單位主管審批終止流程結束。以此為依據(jù)設計測試用例，保證流程測試覆蓋每一個環(huán)節(jié)的每一個可執(zhí)行的操作，從而保證流程測試不會遺漏業(yè)務流程的任何一個可能分支。2. 并發(fā)操作測試：對業(yè)務流程的測試只是驗證了軟件使用過程中的時間邏輯的正確性，但Web系統(tǒng)軟件的多客戶端特點決定了其使用過程中還面臨著空間上的并發(fā)沖突以及資源競爭，而這往往是開發(fā)人員在軟件設計時可能會遺漏考慮的情況。功能測試需要特別考慮23個用戶對同一條記錄的并發(fā)操作，驗證系統(tǒng)相應的處理邏輯是否合理。測試組可指定專人進行軟件并發(fā)操作分析，通過透徹分析軟件的各種使用場景，包括：引用同一數(shù)據(jù)的多處操作、具有相同操作權限的不同用戶等，形成專門的并發(fā)沖突測試規(guī)格表，如表1所示：表1 并發(fā)沖突測試規(guī)格表序號功能名稱功能簡述測試規(guī)范要求1.審批對下級用戶提交的申請進行審批處理當多個審批客戶端都已打開審批頁面，同時執(zhí)行“審批”動作時，應以先審批的結果為準，并且后審批的人員無法再對同一申請進行重復審批2.刪除將某一記錄從系統(tǒng)數(shù)據(jù)庫中刪除當被刪除的記錄正在系統(tǒng)其他地方被引用時，應給予“不允許刪除”的提示信息3.修改修改某一記錄在系統(tǒng)中的屬性當被編輯的記錄正在系統(tǒng)其他地方被引用時，應給予“不允許修改”的提示信息4.通過完備的功能測試，將保證Web系統(tǒng)軟件設計合理，主要功能實現(xiàn)正確，系統(tǒng)在正常使用模式下可以有效運行。三、易用性測試應用系統(tǒng)界面直接面向用戶，因此，用戶對應用系統(tǒng)易用性的第一印象來源于系統(tǒng)的界面實現(xiàn)，要求界面設計易操作、易理解、防誤操作。易用性測試應重點關注：1.可能引發(fā)安全問題的界面輸入；2.用戶使用過程中是否易理解、易操作；3.軟件外觀設計對用戶的吸引力。不同的應用系統(tǒng)雖然業(yè)務處理內(nèi)容不同，但其易用性測試是相通的。對于有共性的對象，測試組應專門建立標準的易用性測試規(guī)格表，如表2所示，方便后續(xù)產(chǎn)品的類似對象中重用。表2 易用性測試規(guī)格表序號易用性測試內(nèi)容測試規(guī)范要求1.顯示信息1） 所有操作菜單、提示信息全部使用簡體中文；能夠輸入和顯示中文中較偏僻的字2） 可輸入/選擇框以正常色顯示；不可輸入/選擇框以灰色顯示3） 保證表格的寬度不因內(nèi)容的多少而被擠變形2.輸入數(shù)據(jù)1） 輸入數(shù)據(jù)或遞交數(shù)據(jù)時，應對數(shù)據(jù)的合法性進行校驗，例如：空輸入、超長字符串、包含特殊字符、包含空格等2） 參數(shù)設置功能中的參數(shù)是否易于選擇、是否有缺省值3） 數(shù)據(jù)是否“一次輸入、多處應用”3.定制能力軟件為用戶預留了對某一功能的自定義設置，例如：郵件系統(tǒng)的常用聯(lián)系人，報表輸入模式定義等4.還原能力是否提供UNDO功能用以撤銷不期望的操作5.提示功能1） 界面的輸入和輸出提示信息的格式和含義是否容易被理解2） 提供進度條、動畫等反映正在進行的比較耗時間的過程3） 執(zhí)行刪除操作之前，是否有用戶確認提示6.在線幫助確認在線幫助是否容易定位，是否有效通過易用性測試，保證了基于Web應用系統(tǒng)的業(yè)務操作簡單高效、易理解、易被用戶接受，大大增強系統(tǒng)對用戶的吸引力。四、性能測試通常，Web應用程序在少量用戶使用時正常運行，當有大量用戶同時使用時，可能會出現(xiàn)響應時間過長，嚴重時甚至功能失效、系統(tǒng)崩潰的現(xiàn)象。因此，Web應用系統(tǒng)上線前必須進行嚴格的性能測試。性能測試應用領域不同，相應的測試手段也不同，分類如表3所示：表3 性能測試應用領域分類表應用領域測試目標測試方法能力驗證在已確定的環(huán)境下（硬件設備、軟件環(huán)境、網(wǎng)絡條件、基礎數(shù)據(jù)）根據(jù)典型場景（包括操作序列、并發(fā)用戶數(shù)量）運行測試方案，驗證是否具有預期的能力表現(xiàn)可靠性測試，壓力測試，失效恢復測試能力規(guī)劃通過探索性的測試，研究在某種可能發(fā)生的條件下，系統(tǒng)具有如何的性能能力負載測試，配置測試，壓力測試性能調(diào)優(yōu)確定基準環(huán)境、基準負載和基準性能指標，調(diào)整系統(tǒng)運行環(huán)境和實現(xiàn)方法，直到系統(tǒng)達到預期的性能調(diào)優(yōu)目標配置測試，負載測試，壓力測試，失效恢復測試缺陷發(fā)現(xiàn)發(fā)現(xiàn)并發(fā)時的應用問題并發(fā)測試，壓力測試，失效恢復測試表3中的測試方法定義如下：負載測試：通過逐步增加系統(tǒng)負載，測試系統(tǒng)性能的變化，并最終確定在滿足性能指標的情況下，系統(tǒng)所能承受的最大負載量。壓力測試：通過逐步增加系統(tǒng)負載，測試系統(tǒng)性能的變化，并最終確定在什么負載條件下系統(tǒng)性能處于失效狀態(tài)，并以此來獲得系統(tǒng)能提供的最大服務級別的測試。配置測試：通過測試找到系統(tǒng)各項資源的最優(yōu)分配原則。并發(fā)測試：逐步增加并發(fā)用戶數(shù)的負載，直到系統(tǒng)的瓶頸或者不能接受的性能點，通過綜合分析交易執(zhí)行指標、資源監(jiān)控指標等來確定系統(tǒng)并發(fā)性能?？煽啃詼y試：在給系統(tǒng)加載一定業(yè)務壓力的情況下，使系統(tǒng)運行一段時間，以此檢測系統(tǒng)是否穩(wěn)定。測試組應根據(jù)Web應用系統(tǒng)的使用背景、軟件測試任務書的要求進行性能測試應用領域分析，提取性能測試指標，例如最大并發(fā)用戶數(shù)、最長響應時間、業(yè)務成功率、平均吞吐量等，以此為目標制定測試方案，設計測試場景，搭建測試環(huán)境，準備測試數(shù)據(jù)，執(zhí)行測試，分析測試結果，驗證Web應用系統(tǒng)性能實現(xiàn)是否達到預期要求。五、安全性測試 Web系統(tǒng)的載體為Internet，由于Internet的不可預見性以及用戶客戶端的不確定性，導致Web系統(tǒng)極易受到黑客攻擊。雖然Web系統(tǒng)可以通過使用防火墻、網(wǎng)絡脆弱掃描工具等技術來屏蔽部分攻擊，但Web應用自身的安全設計漏洞仍然可能成為惡意攻擊的入口。根據(jù)Gartner的最新調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應用層面上，同時，數(shù)據(jù)也顯示，三分之二的Web站點都相當脆弱，易受攻擊。因此，針對Web應用的安全性測試也是必須環(huán)節(jié)。 Web系統(tǒng)的安全性測試可以借助自動化診斷工具對Web應用進行自動化的安全隱患掃描和分析，目前市場上應用成熟的安全性診斷工具包括IBM Rational AppScan，Acunetix Web Vulnerability Scanner，SecDomain WebRavor等，提供包括對跨網(wǎng)站腳本攻擊、注入攻擊、惡意文件執(zhí)行、不安全對象引用、偽造跨站點請求、信息泄露等攻擊手段的檢測，此外，測試組還應從系統(tǒng)具體使用角度檢測應用系統(tǒng)是否具備完善的安全認證和用戶控制機制，對不同用戶分配不同權限，對不同軟件功能模塊、數(shù)據(jù)定義不同的操作特性等，可參照表4建立標準的安全性測試規(guī)格表。表4 安全性測試規(guī)格表序號安全性測試內(nèi)容測試規(guī)范要求1.注冊與登錄1） 必須先注冊，后登錄2） 限制多點登錄3） 限制失敗登錄次數(shù)4） 禁止通過在瀏覽器中輸入地址從而繞過“登錄”頁面2.受限訪問1） 明確區(qū)分系統(tǒng)中不同權限用戶對數(shù)據(jù)或業(yè)務功能的訪問范圍2） 避免向客戶端公開太多信息3.在線超時用戶登錄一定時間后沒有任何操作，將自動退出，需要重新登錄才能正常使用4.操作日志1） 記錄失敗的登錄企圖2） 審核關鍵操作，包括數(shù)據(jù)檢索、網(wǎng)絡通信和管理功能5.備份與恢復1） 日志文件的備份、存檔2） 數(shù)據(jù)庫的備份與恢復3） 系統(tǒng)的完全備份六、結論 Web應用開發(fā)技術日新月異，從單調(diào)的HTML，