20、软件测试与安全保障：加速交付与强化防护的策略

软件测试与安全保障：加速交付与强化防护的策略

1. 测试方法与工具

1.1 探索性测试

探索性测试由 Cem Kaner 在 1999 年提出，它是一种同时聚焦于发现、学习、测试设计和执行的测试方法。这种方法依赖于测试人员个人来发现其他测试中难以发现的缺陷。

有许多工具可以辅助探索性测试，它们能帮助记录测试会话、截取带注释的屏幕截图，还常允许根据执行的步骤创建测试用例。部分扩展可与 Jira 集成，如 Zephyr 和 Capture，还有浏览器扩展，如 Azure Test Plans 的 Test and Feedback 客户端（独立模式下免费）。这些工具不仅能反馈发现的缺陷，还能为开发者提供利益相关者的高质量反馈。

1.2 其他反馈收集方式

除了探索性测试，还可以使用可用性测试技术，如走廊测试或游击式可用性测试，通过在新的、无偏见的用户上测试来评估解决方案。A/B 测试是可用性测试的一种特殊形式。

重要的是，这些测试都可以在生产环境中执行。CI/CD 管道中不应有手动测试，应利用功能标志和金丝雀发布实现快速发布，并在生产环境中进行手动测试。

1.3 故障注入与混沌工程

若想提升生产环境测试水平，可以实践故障注入，即混沌工程。这意味着向生产系统注入故障，以观察系统在压力下的表现，以及故障转移机制和断路器是否正常工作。可能注入的故障包括高 CPU 负载、高内存使用、磁盘 I/O 压力、低磁盘空间、服务或整个机器关闭或重启等。

不同工具可辅助进行混沌工程：
- Gremlin（https://www.gremlin.com/）：基于代理的