Тестирование IT-систем *

Первая полностью автоматизированная ИИ-атака уже случилась. Claude сам нашёл уязвимые компании, написал под них малварь, разослал её и начал шантажировать жертв с требованием выкупа в биткоинах. Взломано было 17 компаний. И это только начало.

Сергей Зыбнев— Team Lead пентестер и специалист по безопасности больших языковых моделей. Это интервью записано в эфире телеграм-канала Ai4Dev — AI for Development, где регулярно разбирают практические кейсы применения ИИ в разработке. Пока разработчики радуются тому, как Opus 4.1 за ночь переписал целый микросервис, злоумышленники уже научились использовать те же инструменты для атак. Prompt injection в корпоративных ботах, скрытые команды в MCP-серверах, ИИ-сгенерированные эксплойты — всё это работает прямо сейчас.

Всем привет! Меня зовут Вадим, и я QA-инженер в IT-компании Intelsy. В современной разработке программного обеспечения всё чаще встречаются распределённые системы и микросервисная архитектура. Один из ключевых инструментов, обеспечивающих надёжное и масштабируемое взаимодействие между сервисами, — это Apache Kafka — распределённая платформа потоковой обработки и передачи сообщений. Для специалиста по обеспечению качества понимание принципов работы Kafka критически важно.

В феврале этого года я [писал на Хабре](https://habr.com/ru/articles/883590/) про автоматизацию тестов для САПР. Мы делали систему с записью действий в JSON и воспроизведением через pyautogui. Работало. Но только для одного конкретного проекта.

С тех пор фреймворк вырос. Сильно. Из узкоспециализированного решения для промышленного ПО превратился в универсальный инструмент. Теперь работает с чем угодно - офисные пакеты, банковские клиенты, CAD-системы.

Что изменилось? Убрал привязку к конкретному софту. Добавил умный поиск элементов вместо тупых координат. Сделал так, чтобы QA мог записать тест без единой строки кода. Прикрутил UI-ассерты, мониторинг системы, файловые проверки.

Короче, то что начиналось как решение для одной задачи, выросло в полноценный фреймворк. И оказалось полезным не только мне.

Привет, Хабр! Меня зовут Ольга Проскурякова, я лид направления тестирования в компании TData. Эта статья — моя первая публикация на Хабре. Буда рада поделиться своим опытом.

Платформа, которую разрабатывает TData — это комплексное решение для работы с большими данными: сбор, управление, хранение, визуализация и анализ. В центре платформы — десяток ключевых продуктов. Все они проходят проверку нашей командой тестировщиков. Сегодня я расскажу о том, как мы тестируем один из них.

Для наглядности опишу предметную область тестирования. Это продукт RT.Warehouse — массивно‑параллельная СУБД для построения хранилищ данных, разработанная на базе Greenplum.

RT.Warehouse обеспечивает высокую степень производительности и отказоустойчивости благодаря гибкости горизонтального масштабирования, использованию в ядре продвинутого оптимизатора запросов и адаптации архитектуры для хранения и обработки больших массивов данных.

Сегодня от приложения ждут не только стабильной работы, но и уверенности в безопасности. На фоне растущего числа кибератак пользователи уделяют всё больше внимания защите своих персональных данных. В связи с этим, информационная безопасность — не опция, а обязательный элемент качества ПО. 

Часто QA-специалисты фокусируются на функциональности, удобстве использования, пользовательском опыте, упуская из виду свой огромный потенциал в укреплении безопасности продукта. А между тем, именно они могут предотвратить появление уязвимостей или найти их раньше, чем это сделают злоумышленники. И если исправить баг в продакшене — дорого, то исправить последствия успешной кибератаки — во много раз дороже, и речь здесь не только о деньгах, но и о репутации. 

Привет, Хабр! Я QA-специалист в IT-компании SimbirSoft. И в этой статье разберемся, какую роль QA может играть в обеспечении безопасности IT-продукта.

Всем привет! Вновь с вами аналитики из команды PT Cyber Analytics, и мы завершаем рассказ про исследование защищённости банкоматов. В первой части статьи мы подробно рассказали про устройство банкомата, принцип его работы и основные типы атак. Настало время перейти к самому интересному: логическим атакам.

За нами, читатель! Мы расскажем, как же всё-таки взламывают банкоматы без шума и пыли.

Привет, меня зовут Ирина, я тестировщик в продуктовой команде iSpring.

В этой статье я на реальном примере интеграции OpenSearch в LMS iSpring Learn расскажу, как протестировать полнотекстовый поиск, сохранив баланс между качеством и трудозатратами. Мы не только разберём базовые проверки, но и погрузимся в тестирование стемминга, релевантности, работу в распределённой системе и отказоустойчивости. Материал будет полезен тестировщикам и разработчикам, которые хотят понять, что скрывается за фразой «протестировать поиск».

Я поделюсь опытом интеграции OpenSearch с web-продуктом, чтобы другим тестировщикам было проще избежать возможных ошибок и сэкономить время на этапе проверок.

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 9 трендовых уязвимостей.

В статье рассматриваются исключения в Java: какие они бывают и как их можно обрабатывать. Простые объяснения и примеры помогут понять, как работать с ошибками в автотестах.

Всем привет! Меня зовут Антон Лосев, и я QA Lead в компании AXENIX.

Сегодня я хотел бы вам рассказать и показать, как я, будучи мануальным тестировщиком, решил вопрос с горой рутинных тест‑кейсов, которые мне необходимо было проходить в каждом регрессе. Поговорим о том, какие инструменты можно использовать для «автоматизации» выполнения большинства шагов кейсов, какие есть альтернативы данным инструментам и о том, насколько всё это влияет на качество регресса и скорость его прохождения.

Как мы в HOSTKEY создали собственный LLM-бенчмарк для GPU-серверов с видеокартами NVIDIA в Ollama. Подробно о методике тестирования, коде на bash, результатах и закономерностях производительности.

Привет, Хабр! Меня зовут Анна Курина, я старший инженер по тестированию в отделе бокс-тестирования базовой станции LTE в YADRO. Сегодня я расскажу, как мы проходили сертификацию базовой станции: проверяли соответствие российскому законодательству и спецификациям 3GPP. А еще мы разберемся с малознакомым для широкой аудитории QA-инженеров видом тестирования: тестированием на соответствие (conformance testing). Оно позволяет тестировщику окунуться в реальную эксплуатацию оборудования, а не просто провести тесты и забыть о «железе».

Всем привет! Меня зовут Макс Теричев. Я старший инженер по разработке ПО в YADRO. В первый день работы в компании меня отправили пройти Go Tour. После этого я приступил к работе по автоматизации тестирования Control Path сервисов в СХД. Чтобы увеличить их тестовое покрытие, был создан специальный фреймворк, который интегрировал написание тестов в процесс разработки. Что входит в этот подход, насколько дорого обходятся ошибки в разработке систем хранения данных и какие два вида мотивации здесь работают — читайте под катом.

Последнее время количество отключений и проблем со связью вынудило меня искать приложение для проверки работы интернет. SpeedTest не работает, и я набрел на новое приложение Merilo by Vigo, про которое писали некоторые телеком издания в сентябре.

Судя по сайту приложения, разработчик сервиса — ком пания Vigo, которая специализируется на создании продуктов по замеру качества и оптимизации сетей связи.

Установил из Rustore. Почему-то пока нет на Play Google, что странно.

Самой большой находкой в приложении оказалась вкладка «Сервисы» — приложение одновременно проверяет доступность популярных сайтов и сервисов. С учётом недавних блокировок — это особенно актуально. Хотелось бы, чтобы список сервисов в будущем расширили, или добавили возможность самим добавлять линки. Надеюсь, разработчики прочитают и добавят.

Всем привет! Меня зовут Катя, я QA Tech Lead в MD Audit.

Поговорим о том, почему ИИ генерит бесполезные тест-кейсы и как это исправить с помощью простой формулы промта «Роль → Задача → Контекст → Формат».

Разберёмся, как с её помощью получать живые тесты без лишней головной боли — такие, которые можно сразу класть в TMS и автоматизировать.

В конце у вас останется готовый шаблон промта + таблица тестов, которую можно унести в свой проект.

Чёрная пятница — долгожданный день для охотников за скидками и выгодными предложениями. Это своеобразный экзамен на прочность для разнообразных сервисов, финансовых организаций и банков, который, к сожалению, не все сдают, на «отлично».

Я — Дмитрий Тутов, руководитель направления нагрузочного тестирования в ПСБ. Сегодня поговорим про другую сторону Чёрной пятницы!

Поехали!

Привет, Хабр! Меня зовут Максим, я тестировщик в РГС. Сейчас мы с командой разрабатываем новое приложение для клиентов, и нам очень хотелось, чтобы у нас была прозрачная картина актуальности и полноты тестового покрытия, для повышения качества выпускаемого продукта и эффективности процессов.

Поэтому мы задались вопросом систематизации требований к этому продукту, которые зачастую поступают из различных источников: бизнес-задачи, регламенты, макеты, пользовательские истории, обратная связь от клиентов и так далее.

Привет, Хабр! Меня зовут Эдуард, я руковожу отделом DevOps в компании KISLOROD.  В этой статье расскажу про подход к нагрузочному тестированию, который сформировался у нас. Мы постоянно дорабатываем процессы, поэтому буду рад конструктивным комментариям и обмену опытом.

Когда два с половиной года назад мы бесплатно выложили интерактивный учебник со всей теорией по тестированию, мы не думали, что это приведет к такому результату.

Более 10’000 самообучающихся студентов.

Работодатели, включившие его в перечень базовых знаний: например, Ozon Tech, МТС, Точка банк. IT-компании, обращающиеся за открытием специального доступа для внутреннего обучения сотрудников.

Но за 2.5 года изменилось многое, и настала пора следующего поколения.
Мы не только на 100% переписали всё содержимое учебника, но также добавили в него учебное приложение, AI и многое другое.

Наша система хорошо покрыта unit-тестами, которые интегрированы в CI-процессы. Настроен запуск и контроль функциональных интеграционных тестов. После проделанной работы по обеспечению корректности выполнения бизнес-процессов возникли вопросы, связанные с производительностью, корректностью настройки компонентов системы, отказоустойчивостью, которые можно условно обрисовать, выделив основные из них:

• Насколько корректно и оптимально настроены все модули системы?
• Где порог отказоустойчивости наших сервисов и сторонних компонентов, используемых в решении?
• Что именно мы можем гарантировать потребителю при различных условиях эксплуатации?
• Сможем ли мы выдержать повышенные нагрузки - и если да, то какие именно?

Ответить на эти вопросы помогают нагрузочные тесты. В статье рассмотрены ключевые идеи подхода к их реализации: какие тесты запускать, когда и где это делать, кто несёт ответственность за их написание и на что стоит обратить внимание при анализе результатов.