Home

Автор: Маарет Пюхяярве(Maaret Pyhäjärvi)
Оригинал статьи
Перевод: Ольга Алифанова

Много лет назад я собеседовала кандидата в тестировщики для одной команды. Кандидат подготовился и протестировал сайт компании в поисках проблем функциональности, производительности и безопасности. Он вызвал значительную нагрузку (мешая другим пользоваться сайтом), нашел функциональности, не соответствующие его ожиданиям, и предполагал, где могут скрываться уязвимости. Однако ему была чужда идея, что прод других организаций предоставляется для добросовестного использования по назначению, а тестирование – это не задача для прода. Он вызвал множество атак отказа в сервисе на сайте, который был не создан для того, чтобы им противостоять, и считал, что это отличный результат. Мы так не считали. Мы посчитали это неэтичным на грани с нелегальным, и отказали в найме.

Многие годы я говорю на каждом курсе по тестированию, что мы, как тестировщики, должны быть внимательны не только к тому, что мы тестируем, но и к тому, где мы тестируем. ИХ прод – это не наше тест-окружение.

Когда я обнаружила баг безопасности в Foodora, позволяющий мне бесплатно получать еду, я изо всех сил удержала себя от изучения этого бага, потому что не хотела тратить время на отчет о нем. ИХ прод – это не мое тест-окружение. Невозможность избежать бага привела к тому, что ряд коллег в сообществе безопасников плохо отозвался обо мне, так как я не хотела выполнять эту работу – я упомянула (без подробностей), что проблема существует, помогая им в исправлении бага, хотя я вообще не хотела этим заниматься. Они посчитали, что я, знающая, как тестировать (и имеющая представление, как воспроизводить этот баг), несу больше ответственности, чем пользователь. Я посчитала, что пользоваться моими профессиональными навыками бесплатно – это нечестно.

Что, однако, должно быть ясно, как день:

Прод других организаций – это не ваше тест-окружение. Это просто так не работает в нашей области.

Когда я преподаю тестирование, я делаю это на ПО других людей, развернутом в моем собственном тест-окружении. Когда я тестирую на проде, я делаю это потому, что об этом просит моя собственная, согласная на это компания. Когда я тестирую на проде других людей, я делаю это в качестве услуги, о которой они просили, и на которую они согласны.

Тут есть некоторые параллели со вполне легальной веб-агрегацией. Юридические системы все еще разбираются в "хороших" и "плохих" ботах, требуя, чтобы мы придерживались добросовестного использования и явно указанных условий использования с целью защиты права собственности на данные.

Создание своих скраперов и тестирование веб-сайтов – это еще один сценарий использования, отличающийся от запуска скраперов. Создавая и тестируя, мы получаем ненамеренные побочные эффекты. Конкретно в тестировании мы ищем то, что сломано и то, что можно доломать, используя специфические паттерны взаимодействий.

Тестирование на чужом проде неэтично даже несмотря на то, что с юридической точки зрения это серая зона. Мы можем и должны тестировать в окружениях, которые для этого предназначены.

Я все еще регулярно сталкиваюсь с компаниями, дающими соискателем тестовое задание на автоматизацию чужого прода. Не рекомендуется просить новенького тестировщика демонстрировать свои навыки, если это потенциально приведет к отказу сервиса компании, которая не просила, чтобы ее сайт тестировали. Но откажутся ли они от этого? Скорее всего, нет.

Поэтому сегодня я отправила два письма. Одно тест-подрядчику, использующий для тест-целей большой популярный веб-магазин. Я проинформировала его, что они должны получить разрешение для своих кандидатов тестировать на чужом проде. Другое письмо я выслала большому популярному веб-магазину, информируя их, какая компания рискует их продом, чтобы заниматься рекрутингом.

Чем больше мы знаем, тем большего количества ненамеренных побочных эффектов мы можем избежать, но даже в этом случае ИХ прод – не ваше тест-окружение. Придерживайтесь добросовестного использования и учитесь/обучайте на сайтах, которые согласны на это.

Обсудить в форуме