Тестирование программного обеспечения – это не просто процесс выявления ошибок, а целая наука, требующая системного подхода. Чтобы сделать тестирование действительно эффективным, необходимо использовать метрики, которые помогут измерить его качество и результативность. В этой статье мы с вами рассмотрим наиболее значимые метрики и приведем примеры их использования.
Тестирование веб-сервисов *
Семь раз оттесть, один раз деплой
Новости
Рефлексия о техдолге и AutoDay
Итак, вы решили провести AutoDay. А это значит, что вы хотите раз и навсегда целенаправленно сократить скопившийся технический долг и желательно надолго.
Но подождите…
Remote Code Execution в Widget Options (WordPress Plugin) — CVE-2024-8672
28 ноября 2024 года в плагине Widget Options для WordPress, который установлен более чем на 100,000 сайтах, была выявлена критическая уязвимость с CVSS 9.9. Уязвимость позволяет выполнять удалённое исполнение вредоносного кода. Рассмотрим процесс установки уязвимой версии плагина, а также пример эксплуатации уявзимости.
Автоматический поиск Proof-Of-Concept скриптов для CVE (sploitscan)
В Kali Linux 2024.2 Release добавили инструмент, позволяющий автоматизировать поиск Proof-of-Concept скриптов для эксплуатации уязвимостей - sploitscan. Установим и рассмотрим два варианта использования инструмента.
Тестирование доступности с использованием Shadow DOM
Недавно у меня была возможность обсудить трудности, уроки и успехи в разработке Spectrum Web Components вместе с коллегами-разработчиками пользовательских элементов из команд IBM, ING, SAP и Vaadin. Один из участников панельной дискуссии справедливо отметил, что разработчикам не хватает материалов, которые можно было бы использовать для внедрения надёжных практик доступности в области веб-компонентов.
С учётом этого, я решил, что было бы полезно превратить некоторые из абстрактных концепций, обсуждавшихся на встрече, в конкретные примеры рабочего и тестируемого кода. Надеюсь, это поможет следующим разработчикам, стремящимся создать для своей команды высококачественную, доступную дизайн-систему с помощью веб-компонентов.
Remote Code Execution в Wordpress-плагине WP Umbrella (CVE-2024-12209)
В популярном плагине WordPress
— WP Umbrella
, установленном более чем на 30 000
сайтов, была обнаружена критическая уязвимость. Этот недостаток, получивший идентификатор CVE-2024-12209
, может позволить неавторизованным злоумышленникам полностью захватить контроль над уязвимыми сайтами.
Уязвимость имеет оценку в 9.8
баллов по CVSS
.
Идеальное резюме тестировщика, или Как не забыть поливать цветы
Печальная картина, когда кандидат на серьёзные позиции скидывает резюме, где навыки идут следующим образом:
• Функциональное тестирование
• Написание чек‑листов
• Анализ документации
• Заведение багов
Вопросов здесь много! Во‑первых, написали не по порядку, сначала идёт анализ документации. Но если серьёзно, то такой список навыков не подходит. Это уровень не джуна, а студента в первый месяц обучения.
Навыки в резюме — это умения, знания и владение программами, которые позиционируют соискателя как профессионала.
Тестирование с нуля: советы, которые я дала бы себе на старте
Всем привет! Меня зовут Маша, я работаю QA-инженером в Doubletapp, и моя история в IT началась всего 1,5 года назад. Хочу поделиться своим опытом перехода в тестирование, рассказать о том, как я училась, с чего начинала, и что помогло мне сделать первый шаг. Надеюсь, этот рассказ вдохновит тех, кто только думает о профессии тестировщика.
Содержание
• Обзор полезных курсов
• Как найти работу
• Семь вещей, которые я хотела бы знать на старте
Лидерство в тестировании — повышение качества ПО и экономия времени на тестировании инфраструктуры
Инфраструктура — это термин, который мы используем для описания всего оборудования, облачных сервисов, сетей, вспомогательного программного обеспечения и тестируемого приложения, необходимого для разработки, тестирования, развертывания и эксплуатации наших систем.
В статье обсудим программное обеспечение для ИТ‑инфраструктуры, инфраструктуру тестирования и тестовые среды.
Ускорение тестов Playwright с помощью Microsoft Playwright Testing
Вам надоело ждать выполнения набора тестов при помощи Playwright? Хотите запускать тесты на разных операционных системах и браузерах без необходимости управлять сложной инфраструктурой? Ускорить выполнение тестов и улучшить покрытие, запускать тесты на различных комбинациях ОС и браузеров поможет Microsoft Playwright Testing.
В этом посте мы подробно рассмотрим функцию облачных браузеров, предлагаемую этим сервисом, объясним, как она работает, и покажем, как интегрировать её с вашим текущим набором тестов Playwright.
Как я готовилась и сдавала ISTQB Certified Tester Advanced Level Test Analyst
Всем привет! Меня зовут Настя, я — влюблённый в профессию тестировщик.
30 ноября 2024 года сдавала сертификацию ISTQB® Certified Tester Advanced Level Test Analyst (CTAL‑AT) и в этой статье хочу поделиться своим опытом: почему решила сдавать, как и сколько готовилась и т. д.
Замороженный cucumber
Как вы относитесь к cucumber? Не любите? Просто у вас рецепт не тот! А если любите, то полюбите ещё больше, когда я расскажу о замороженном кукумбере. Уж мороженое все любят. Меня зовут Юра Синдяшкин, я работаю в М.Видео-Эльдорадо и сегодня покажу, как кукумбер можно сделать ещё более удобным для автотестера.
Система отчётов в Gatling: как работать и что включает?
Продолжим наш разговор про инструмент Gatling. В этот раз я бы хотел обсудить систему отчетов, которую предоставляет Gatling из коробки. Что она в себя включает, как с ней работать и где ее можно использовать.
После выполнения нагрузочного тестирования в Gatling генерируется HTML-отчёт, который предоставляет детальную информацию о работе системы и результатах теста. Эти отчёты позволяют глубже проанализировать производительность приложения и выявить слабые места. Давайте разберём, как с ними работать и что они включают.
Ближайшие события
Введение в Gatling: какие есть альтернативы и в чем их минусы?
Привет, Хабр! Вы когда-нибудь задумывались, насколько ваш веб-сервис способен выдержать шквал запросов? Что произойдёт, если ваши пользователи, словно зомби, хлынут на сервер тысячами? Вот тут-то и начинается история про нагрузочное тестирование, которое помогает понять, где у вашего приложения «узкие места». А инструмент, о котором мы сегодня поговорим, — Gatling. Это мощная, элегантная и, честно говоря, недооценённая альтернатива монстрам вроде JMeter, LoadRunner и k6. Но давайте разбираться по порядку.
Наводим порядок в мониторинге 30+ проектов
Привет! Меня зовут Катя, я тестировщик.
Когда я только пришла работать в 2ГИС, я занималась тестированием фронтенда карты. Всё было чётко и понятно, ведь был один проект. Но когда я переключилась на тестирование бэкенда, ситуация радикально изменилась. В работу команды, связанной с пользовательским контентом, входило 30+ проектов разного размера и приоритета, с разным уровнем покрытия тестами. Из общего только, что все проекты разработаны на Go, а автотесты — на Python.
Ситуация была настоящий «омагад🫣». Даже опытным сотрудникам было сложно ориентироваться в каждом проекте, не говоря о новом члене команды. Это приводило к неприятным последствиям. Например, перед внедрением фич мы часто не могли прогнозировать время тестирования и оценивать необходимые усилия. Бизнесу давались одни сроки, но на практике они сдвигались из-за неожиданно обнаруженных проблем. В результате доставка фич на бой затягивалась или срывались сроки, нарастал техдолг, и вся эта вакханалия повторялась по кругу.
Расскажу, что мы сделали, чтобы навести порядок. Это история о том, как системный подход упростил жизнь нашей команде, ускорил тестирование и повысил прозрачность процессов.
СyberPanel Command Injection Vulnerability (CVE-2024-51378)
В программном обеспечении CyberPanel
обнаружена уязвимость, связанная с обходом аутентификации и выполнением произвольных команд через эндпоинты /dns/getresetstatus
и /ftp/getresetstatus
. Уязвимость присутствует в файлах dns/views.py
и ftp/views.py
версий до 2.3.7
включительно.
Интеграция и сохранение выбранного языка пользователя в базу данных в фулстек-приложении на «Angular» и «NestJS»
Этот пост не претендует на масштабность, но поскольку я последовательно документирую все этапы разработки бойлерплейта в формате статей, решил описать и эту задачу.
Здесь я приведу пример миграции базы данных для добавления нового поля, а также покажу, как реализовать соответствующий функционал на бэкенде и фронтенде для изменения этого значения.
QA. Как навести порядок на проекте, в котором есть проблемы (Часть 2)
Приветствую всех.
Наконец-то дошли руки до продолжения этой темы.
Первая часть лежит тут.
Следующее о чем хочется поговорить, так это о макетах.
Чаще всего, я видел макеты в подобных состояниях:
Linux LPE через Needrestart (CVE-2024-48990)
19 ноября 2024 года компания Qualys
публично раскрыла информацию о пяти уязвимостях в утилите Needrestart
. Эти уязвимости касаются локальной эскалации привилегий(LPE
) и были найдены в бинарном файле. CVE-2024-48990
затрагивает версии Needrestart
до 3.8
. В Ubuntu
она применяется по умолчанию с версии 21.04
. Также проблема актуальна для Debian
, Fedora
и других дистрибутивов Linux
.
LPE
(Local Privilege Escalation
) позволяет злоумышленнику повысить свои привилегии в системе, получив доступ к действиям, доступным только администраторам (например, root
-доступ). Это может использоваться для установки вредоносного ПО, управления системой, обхода ограничений безопасности и доступа к конфиденциальным данным. Основная цель — получить полный контроль над системой.
Уязвимость имеет оценку в 7.8
баллов по CVSS
.
Как заставить API самому себе писать тесты: практика генерации тестов на основе спецификации API. Часть 1
Тестирование API — неизменная задача при разработке продуктов. Проблема, с которой сталкиваются многие компании, — большой ручной регресс. Появляется автоматизация, но покрытие огромного количества API‑методов требует ресурсов, которых часто нет. Кроме того, в большинстве случаев написание API‑тестов — монотонная работа, которой никто не любит заниматься. Как решить эти проблемы?
Привет, Хабр. Меня зовут Елизавета Андреева. Я инженер по автоматизации тестирования в ОК.Tech. Мы с коллегами в ОК разработали и внедрили автогенерацию API‑тестов, благодаря которой мы сокращаем ручную работу и время на написание однотипных автотестов, оставляем QA‑инженерам для покрытия только кейсы на бизнес логику. И в этой статье (которая станет первой в серии из двух частей) я начну рассказ о том, как мы реализовали наш генератор и каких результатов нам удалось достичь.
Вклад авторов
phillennium 739.0olegchir 471.0Molechka 411.0w9w 389.0Gorodnya 374.0moskowsky 337.0nizkopal 309.0rikki_tikki 260.0ARG89 247.2m1rko 239.6