Недостаток защиты от XSS путем использования только безопасного обращения со вводом в том, что даже единичный отказ безопасности может скомпрометировать ваш сайт. Недавно созданный стандарт под названием "Политика защиты содержимого" позволяет снизить этот риск.
CSP используется для ограничения возможностей браузера по просмотру вашей страницы: он может пользоваться только полученными из безопасных источников ресурсами. Ресурс – это скрипт, таблица стилей, изображение, или любой иной тип файла, на который ссылается страница. Это означает, что даже если злоумышленник преуспеет во внедрении вредоносного кода в ваш сайт, CSP не даст этому коду выполниться.
Я выделил 7 ключевых стадий эволюции тестирования, чтобы проиллюстрировать, как меняются подходы к обеспечению качества в компаниях. В ходе чтения статьи вы сможете проследить эволюцию тестирования, определить свой текущий этап и узнать, что стоит предпринять для улучшения процесса и качества тестирования.
Статья изначально писалась для журнала CIS, но думаю будет интересна и нашим читателям.
Автор: Кристин Джеквони (Kristin Jackvony) Оригинал статьи Перевод: Ольга Алифанова
В прошлый раз я разбирала запросы к реляционным базам данных, необходимые для тестирования. Сегодня я рассмотрю нереляционные базы данных, расскажу, чем они отличаются от реляционных, и мы обсудим, как создавать к ним запросы в процессе тестирования. Нереляционные базы данных, например, MongoDB и DynamoDB, иногда называются базами данных "без SQL", и их популярность стремительно нарастает.
Основное различие между реляционными и нереляционными базами данных в том, что реляционные БД используют таблицы для хранения данных, а нереляционные используют документы. Эти документы часто имеют формат JSON. Давайте посмотрим, как записи из таблицы Contacts (см. статью про реляционные БД) будут выглядеть, будучи перенесенными в нереляционную базу.
Подводим итоги нового опроса по зарплатам в тестировании в 2019 году. Всего в опросе участвовали более тысячи человек.
Ниже вы найдете зарплатные диаграммы по городам за 2019 и 2018 годы (обзор 2018 года можно посмотреть по ссылке). По горизонтали шкала зарплат, по вертикали количество проголосовавших, получающих зарплату в этом диапазоне. Цветом выделен опыт работы (расшифровка справа на картинке).
Автор: Рикард Эдгрен (Rikard Edgren) Оригинал Перевод: Ольга Алифанова
Характеристики качества описывают атрибуты, которые дают преимущество большей части программных продуктов. Они могут использоваться как для продукта целиком, так и для его частей. Целое состоит из частей. Качество части определяется целым.
Это общие характеристики, служащие богатым источником триггеров для идей по тестированию любого приложения. Некоторые из них вам не подходят, некоторые легко удовлетворить, а некоторые очень важны и сложны. См. материал для печати на следующих страницах для подробного списка вдохновляющих концепций в областях Возможностей, Надежности, Удобства использования, Харизмы, Безопасности, Производительности, IT-руемости, Совместимости, Поддерживаемости, Тестируемости, Ремонтопригодности, Портируемости. Никаких чисел к этим описаниям не дается, метрики опасны, так как скрывают то, что на самом деле важно.
Пройдитесь по этому списку с коллегами или заинтересованными лицами – они помогут вам сфокусироваться, и в то же самое время получат представление о сложности продукта (и его тестирования). Обсудите с командой каждый случай конфликта характеристик.
Это разбиение на категории может также быть стартовой точкой более целенаправленного нефункционального тестирования, с полезным добавлением специализированного тестирования и облегченных методов.
Случалось ли в вашей практике такое, что инцидент, который ещё совсем недавно казался незначительным, приводил к тому, что пригорюнивался весь прод? Или баг, который поначалу казался катастрофой, в итоге, почти ни на что не влиял? Как понять фактическое влияние и распознать мину замедленного действия среди потока багов и сбоев?
В приоритизации и работе со сбоями необходимо четко понимать:
первопричины сбоя,
триггер, который стал толчком для сбоя,
масштаб проблемы и влияния на бизнес.
Об этих и других характеристиках рассказал в своём докладе Дмитрий Химион. Также речь шла о практике рассмотрения Production сбоев, которую в Авито используют для понимания характера проблемы и принятия решений.
А мы ждем вас и в этом году на четвертом выпуске конференции TestCon Moscow 2020.
Всем читателям портала традиционно предлагаем дополнительную скидку в 10% по промо коду SOFTWARE10
Автор: Амит Кулкарни (Amit Kulkarni) Оригинал статьи Перевод: Ольга Алифанова
Автоматизированное тестирование безопасности с ZAP API может помочь найти уязвимости на ранних стадиях. Инструмент безопасности и API, который тут используется – это OWASP ZAP. OWASP ZAP поможет автоматизировать тесты безопасности для включения их в непрерывную интеграцию/непрерывную поставку (CI/CD) для вашего приложения с использованием существующих функциональных регресс-наборов и ZAP Python API.
Ознакомьтесь с секцией "ссылки", чтобы узнать больше.
Вы успешно прошли собеседование и справились с тестовым заданием, работодатель готов предложить вашу первую работу начинающим тестировщиком. И вот, вы, воодушевленные своим успехом, рветесь в бой. Ведь перед этим вы прочли пару книг (а может и больше) по тестированию ПО, успешно окончили онлайн-курс, и даже почитали пару статей в интернете: “как же быть лучшим тестировщиком”. А теперь, уже три месяца, как внемлите рекомендациям и советам более опытных коллег, задерживаетесь, чтобы разобраться в сложном функционале, заводите миллионы багов и даже утомляете себя переработками.
Наконец, испытательный срок подходит к концу, и вы счастливо потираете ручки, уверенные в своем успехе. Но… Неожиданно руководитель мягко говорит, что продолжать сотрудничество он не намерен, а найдет другого тестировщика. Погодите-ка, но почему? Вы же вроде и книги читали по тестированию, и курсы проходили, да и советам коллег следовали. Я уж молчу про заведенные баги, коих миллионы, да и переработки никто не отменял. А тут такое…
Ну что же, давайте вместе разбираться: почему, несмотря на знания и старания, могут уволить начинающих тестировщиков, и как не оказаться в их числе?
Автор: Энджи Джонс (Angie Jones) Оригинал статьи Перевод: Ольга Алифанова
Большинство людей тестируют API спустя рукава. В своем воркшопе "Азбука API" я прошу людей вручную протестировать API. Получая ответ, они, как правило, бросают на него взгляд и, возможно, тщательно проверяют некоторые ключевые поля. То же верно и для автотестов – обычно проверяются только ключевые поля.
