В заметке «Можно ли делить на 0,01 ?» на сайте тестировщиков я написал, что при тестировании нужно проверять согласованность валидаторов входных данных с логикой обработки этих данных приложением. Но из комментариев к этой заметке я понял, что для понимания того, как надо тестировать валидацию данных, надо понимать, как она должна работать, что можно считать правильным, а что нет. Поэтому я написал об этом отдельную статью. В ней рассматривается три вопроса: 1) зачем вообще нужна валидация данных, и 2) где и когда может выполняться валидация данных, 3) какие бывают разновидности проверок. Ну и конечно продемонстрировано, как всё это выглядит на живых примерах. А может быть мои рассуждения окажутся интересны не только тестировщикам, но и разработчикам.
Алексей Баранцев @barancev
Пользователь
SQA Days 2009 Piter: полная подборка материалов 5-й конференции тестировщиков
3 мин
По случаю дня тестировщика, а также в преддверии шестой конференции специалистов по тестированию и обеспечению качества а также конференции Test Labs в Киеве, публикую полный список имеющихся в наличии материалов выступлений предыдущей пятой конференции, которая состоялась 23-24 апреля 2009 г. в Санкт-Петербурге.
Опубликованы все слайды презентаций (в формате PPT), аудиозаписи круглых столов, для примерно половины выступлений — слайдкасты (презентации с наложенным звуком). Некоторые выступления, к сожалению, не были записаны, либо качество записи оказалось слишком низким, поэтому слайдкасты имеются не для всех.
Опубликованы все слайды презентаций (в формате PPT), аудиозаписи круглых столов, для примерно половины выступлений — слайдкасты (презентации с наложенным звуком). Некоторые выступления, к сожалению, не были записаны, либо качество записи оказалось слишком низким, поэтому слайдкасты имеются не для всех.
Ищу инструменты статического анализа кода для поиска уязвимостей
1 мин
Разыскиваются инструменты статического анализа кода на разных языках программирования, предназначенные для поиска уязвимостей путём анализа потоков данных, в особенности для веб-приложений.
Для понятности приведу пример одного такого известного мне инструмента – Pixy.
Для понятности приведу пример одного такого известного мне инструмента – Pixy.
Защищенность правительственных сайтов
1 мин
В процессе подготовки к семинару про тестирование защищенности веб-приложений решил пройтись по сайтам министерств, федеральных агентств и служб, чтобы посмотреть, как там обстоят дела с защищённостью.
При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них:
Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств (хотя бы за защищенность, функциональность оставим в стороне)? Или каждый отвечает сам за себя?
При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них:
- 5 сайтов подвержены пассивному XSS,
- 1 сайт подвержен слепой SQL-инъекции,
- 1 сайт подвержен SQL-инъекции с возможностью внедрения UNION,
- 3 сайта раскрывают некоторые детали внутреннего устройства, из них 2 предоставляют доступ к phpinfo, а 1 выдаёт сообщения об ошибках с отладочной информацией,
- 1 сайт подвержен внедрению команд, это наиболее серьёзная проблема из всех, что мне встретились.
Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств (хотя бы за защищенность, функциональность оставим в стороне)? Или каждый отвечает сам за себя?
Почта России получила дилом за информационные технологии?
3 мин
Забрёл сегодня случайно на сайт УФПС Приморского края (филиал ФГУП «Почта России») и обнаружил там замечательную новость от вчерашнего числа – “Почта России получила дилом за информационные технологии!”. Не могу удержаться, чтобы не прокомментировать этот потрясающий текст.
По итогам участия в четвертой международной Азиатско-Тихоокеанской выставке «Информационные технологии и связь 2009» Приморский филиала ФГУП «Почта России» получил диплом за участие в выставке и вклад в развитие информационных технологий на территории Приморского края. Организаторы выставки признали, что Почта России самым уникальным образом подошла к участию в выставке.
Вы думаете, что “уникальным образом” – это значит демонстрировались суперсовременные технологии? Ха! Читайте дальше :)
Освящение Панбагона — храма всех бАгов
2 мин
Коллеги, хочу представить вашему вниманию новый проект — Панбагон. Что это такое? Это коллективный блог, идея которого позаимствована у недавно созданного Беном Симо проекта “Is there a problem here?”.
С одной стороны, это можно считать ещё одной “коллекцией багов”, пополняемой совместными усилиями. Список известных мне других коллекций, в основном англоязычных, можно найти внизу страницы в правой колонке. Но моей целью является не простая фиксация чужих ошибок, не желание посмеяться над нерадивыми разработчиками, допустившими ошибку, и тестировщиками, которые не смогли её поймать. Мне бы хотелось, чтобы участники этого блога не просто публиковали описания багов, но и пытались понять и описать, чем вызван дефект, почему он остался необнаруженным, какие приёмы, техники, инструменты тестирования могли бы помочь в его поимке, как можно профилактическими мерами добиться того, чтобы такие баги вообще не возникали. В общем, хочется видеть не только и не столько фиксацию дефекта, но и некоторую дополнительную работу мысли, которая могла бы принести практическую пользу читателям.
В Древнем Риме существовал так называемый Пантеон, “храм всех богов”. А у нас будет храм не бОгов, а бАгов. Но не только созвучие сподвигло меня выбрать это название, тем более, что поклонение бАгам явно не входит в наши планы, напротив, мы с ними боремся. В более поздние, христианские времена, языческий Пантеон был переосвящён как церковь всех мучеников. Пользователи, которые мучаются от присутствия багов в программах — вот для кого предназначен наш труд, вот в чьих интересах мы выступаем, вот кому мы явно или неявно служим.
Если Вы хотите стать жрецом, то есть соавтором этого блога, или просто хотите сделать подношение храму в виде описания бага — напишите письмо на адрес panbugon@googlegroups.com. Если Вы собираете свою коллекцию багов или знаете какую-то коллекцию, не упомянутую в списке, находящемся внизу страницы в правой колонке — присылайте ссылку на тот же адрес.
Добро пожаловать в Панбагон!
С одной стороны, это можно считать ещё одной “коллекцией багов”, пополняемой совместными усилиями. Список известных мне других коллекций, в основном англоязычных, можно найти внизу страницы в правой колонке. Но моей целью является не простая фиксация чужих ошибок, не желание посмеяться над нерадивыми разработчиками, допустившими ошибку, и тестировщиками, которые не смогли её поймать. Мне бы хотелось, чтобы участники этого блога не просто публиковали описания багов, но и пытались понять и описать, чем вызван дефект, почему он остался необнаруженным, какие приёмы, техники, инструменты тестирования могли бы помочь в его поимке, как можно профилактическими мерами добиться того, чтобы такие баги вообще не возникали. В общем, хочется видеть не только и не столько фиксацию дефекта, но и некоторую дополнительную работу мысли, которая могла бы принести практическую пользу читателям.
Почему этот проект называется Панбагон?
В Древнем Риме существовал так называемый Пантеон, “храм всех богов”. А у нас будет храм не бОгов, а бАгов. Но не только созвучие сподвигло меня выбрать это название, тем более, что поклонение бАгам явно не входит в наши планы, напротив, мы с ними боремся. В более поздние, христианские времена, языческий Пантеон был переосвящён как церковь всех мучеников. Пользователи, которые мучаются от присутствия багов в программах — вот для кого предназначен наш труд, вот в чьих интересах мы выступаем, вот кому мы явно или неявно служим.
Если Вы хотите стать жрецом, то есть соавтором этого блога, или просто хотите сделать подношение храму в виде описания бага — напишите письмо на адрес panbugon@googlegroups.com. Если Вы собираете свою коллекцию багов или знаете какую-то коллекцию, не упомянутую в списке, находящемся внизу страницы в правой колонке — присылайте ссылку на тот же адрес.
Добро пожаловать в Панбагон!
Агрегирование RSS-лент: как я выбирал агрегатор
4 мин
Я в течение нескольких лет коллекционировал русскоязычные блоги о тестировании. А в какой-то момент, посмотрев на англоязычные агрегаторы, решил сделать такой же микс из своей коллекции.
На данный момент мне удалось собрать 27 блогов, либо полностью посвященных тестированию программного обеспечения, либо таких, где есть соответствующая выделенная категория. Пополняемый актуальный список можно найти здесь: software-testing.ru/about/blogs, так что если вы хотите добавить в свой RSS-ридер только отдельные блоги, можно пойти и выбрать пару-тройку.
А под катом — описание того, как я это делал и какие грабли при этом встретились на моём пути (с картинками).
На данный момент мне удалось собрать 27 блогов, либо полностью посвященных тестированию программного обеспечения, либо таких, где есть соответствующая выделенная категория. Пополняемый актуальный список можно найти здесь: software-testing.ru/about/blogs, так что если вы хотите добавить в свой RSS-ридер только отдельные блоги, можно пойти и выбрать пару-тройку.
А под катом — описание того, как я это делал и какие грабли при этом встретились на моём пути (с картинками).
Мультик про Quality Management
1 мин
Нашёл симпатичный мультик про IBM Rational Quality Manager (под хабракатом). Впрочем, мультик не специфичен для данного конкретного инструмента, всё рассказанное и показанное с равным успехом можно применить и к любому другому инструменту управления тестированием. Мульт не технический, можно показывать его начальству с целью объяснения того, что это за инструменты такие и зачем они нужны.
(Предупреждение: мульт на английском языке)
(Предупреждение: мульт на английском языке)
Автоматизация тестирования «по-китайски»
2 мин
Наверняка многие слышали анекдоты про китайцев. Кто не слышал — приведу пару типичных примеров:
или вот такой:
Однако, сказка ложь, да в ней намёк. Некоторое время тому назад мне попались на глаза две интересные заметки:
Китайский противотанковый взвод численностью 3000 чел. состоит из 3 отделений по 1000 чел. Задача отделения — разобрать танк противника на части, пока он не выстрелил.
или вот такой:
Сегодня в провинции Шаньдунь сдана в эксплуатацию новая мощная электростанция. Принцип действия: три миллиона китайцев бегают по эбонитовому полу в шерстяных носках.
Однако, сказка ложь, да в ней намёк. Некоторое время тому назад мне попались на глаза две интересные заметки:
Конференция SQA Days 2009: программа выступлений
3 мин
Сформирована программа выступлений на конференции SQA Days 2009, которая пройдет 23-24 апреля 2009 г. в Санкт-Петербурге.Конференция обещает быть весьма насыщенной. В первый день будет три трека докладов, во второй день мастер-классы и круглые столы. Программа первого дня сформирована полностью, во второй день ещё могут быть некоторые изменения в расписании, а также пока уточняются списки участников-экспертов на круглых столах.
Для участия в конференции необходимо зарегистрироваться.
Отчёт о конференции Agile Labs, 31 марта 2009 г.
6 мин
На прошлой неделе я посетил конференцию Agile Labs, организованную УЦ Люксофт при поддержке ГУ ВШЭ.Изначально я был настроен скептически, потому что доклады про agile-методы уже примелькались, осенью было много сказано об этом на конференции SECR 2008, была специализированная мини-конференция AgileDays. В общем, я ждал повторения в докладах тех же уже порядком затёртых идей. Поэтому я планировал сходить послушать парочку докладов утром, а потом ещё прийти вечером на обещанную «битву гигантов»: противники agile против сторонников, Панкратов против Уразбаева.
Но меня подстерегал сюрприз — конференция оказалась совсем не такой, как я ожидал. Во-первых, про agile там было не так уж много докладов. Во-вторых, и аудитория, и даже докладчики были настроены весьма критично по отношению к agile. И в-третьих, доклады были достаточно свежими и интересными. Поэтому я так и завис там на целый день. Преимущественно я слушал доклады в первой секции, про них и расскажу свои впечатления.