软件测试基础

测试过程会依次经历单元测试、集成测试、系统测试、验收测试四个主要阶段
1：单元测试：是针对软件设计的最小单位（对于功能测试就是模块）
2：集成测试：是将模块按照设计要求组装起来进行测试，主要目的是发现与接口有关的问题。
3：系统测试：是在集成测试通过后进行的，目的是充分运行系统，验证各子系统是否都能正常工作并完成设计的要求。
4：验收测试：是部署软件之前的最后一个测试操作。在软件产品完成了单元测试、集成测试和系统测试之后，产品发布之前所进行的软件测试活动

缺陷报告的组成：
①缺陷编号（Defect ID）:提交缺陷的顺序
②缺陷标题（summary）：简明扼要的描述缺陷
③缺陷的发现者（Defected By）:测试人员
④缺陷发现日期（date）：一般为当天
⑤缺陷所属的模块（subject）：在测试哪个功能模块时发现的bug. 开发组可以据此决定由谁负责修改该bug
⑥发现缺陷的版本（Defected in release）:
⑦指派给谁处理（Assigned to）:测试人员指派给开发经理，开发经理根据缺陷所在的模块，需要再次指派具体的开发人员。
⑧缺陷的状态（status）：缺陷此时所处的处理阶段或处理情况

测试用例包括以下内容：
1、测试目标；
2、测试环境；
3、输入数据；
4、测试步骤；
5、预期结果；
6、测试脚本等。
测试用例是指对一项特定的软件产品进行测试任务的描述，体现测试方案、方法、技术和策略，是为某个特殊目标而编制的一组测试输入、执行条件以及预期结果，用于核实是否满足某个特定软件需求，目的是能够将软件测试的行为转化成可管理的模式，同时测试用例也是将测试具体量化的方法之一，不同类别的软件，测试用例是不同的，影响软件测试的因素很多，例如软件本身的复杂程度、开发人员（包括分析、设计、编程和测试的人员）的素质、测试方法和技术的运用等。 收起

功能测试用例需要详细到足够的程度才能被视为合格。以下是一些常见的要求和指导原则，以帮助你确定测试用例的详细程度：
1.清晰的步骤：
每个测试用例应该提供清晰的步骤，描述测试人员需要执行的操作。步骤应该具体、明确，以便测试人员可以准确地执行测试。
2.输入数据和预期结果：
测试用例应该指定所需的输入数据，例如用户输入、文件内容、数据库记录等。同时，测试用例也应该定义预期结果，即在给定输入下的期望输出、状态或行为。
3.边界条件：
测试用例应该覆盖各种可能的边界条件。这包括测试最小值、最大值、空值、边界值以及超出正常范围的输入。通过测试边界条件，可以发现潜在的问题和错误。
4.前置条件和环境设置：
测试用例应该明确指定执行测试前需要满足的前置条件和必要的环境设置。这可能包括特定的软件版本、配置设置、数据初始化等。
5.步骤的先决条件和依赖关系：
如果测试用例中的某些步骤依赖于之前的步骤或特定的状态，这些先决条件和依赖关系应该清楚地定义。这有助于确保测试用例的可执行性和正确性。

　　6.错误处理和异常情况
　　测试用例应该覆盖错误处理和异常情况。这包括测试系统如何处理无效输入、错误消息的显示、系统崩溃恢复等。

项目上线的必要条件 :

一、编写目的
　　明确软件测试工作的开始和结束标准。
二、软件测试合格标准
A类错误 B类错误 C类错误 D类错误
无 无 无 ≦4%
　　以上比例为错误占总测试模块的比例。
三、缺陷修复率标准
1、A、B、C级错误修复率应达到100%（C类错误允许存在<5个）。
2、D级错误修复率应达到96%以上。
3、缺陷处理情况：缺陷等级非常重要、重要（P1、P2、P3）需全部关闭，一般建议性缺陷<5%。（这里非常重要：遗留的问题，一定要跟团队讨论，确定可遗留到下个版本，而且要在测试中注明已知问题 & 风险）
四、覆盖率标准
　　测试需求用例执行覆盖率应达到100%（业务测试用例均以执行）。
五、错误级别
　　A级：不能完全满足系统要求，基本功能未完全实现；或者危及人身安全。系统崩或挂起等导致系统不能继续运行。
包括以下各种错误：
1.由于程序所引起的死机,非法退出
2.死循环
3.数据库发生死锁
4.因错误操作导致的程序中断
5.功能错误
6.与数据库连接错误
7.功能不符
8.数据流错误
9.数据流转错误
10.严重的数值计算错误
　　B级：严重地影响系统要求或基本功能的实现，且没有更正办法（重新安或重新启动该软件不属于更正办法）。使系统不稳定、或破坏数据、或产生错误结果，或部分功能无法执行，而且是常规操作中经常发生或非常规操作中不可避免的主要问题。
包括以下各种错误：
1.程序接口错误
2.系统可被执行，但操作功能无法执行
3.在小功能项的某些项目（选项）使用无效（对系统非致命的）
4.功能实现不完整，如删除时没有考虑数据关联
5.功能的实现不正确，如在系统实现的界面上，一些可接受输入的控件点击后无作用；对数据库的操作不能正确实现
6.报表格式以及导出内容错误（行列不完整，数据显示不在所对应的行列等导致数据显示结果不正确的错误）
7.轻微的数值计算错误
8.界面错误(设计稿)
　　C级：严重地影响系统要求或基本功能的实现，但存在合理的更正办法（重新启动该软件不属于更正办法）。系统性能或响应时间变慢、产生错误的中间结果但不影响最终结果等影响有限的问题。
包括以下各种错误：
1.操作界面错误（包括数据窗口内列名定义、含义是否一致）
2.导出内容、格式错误（只影响报表的格式或外观，不影响数据显示结果的错误）
3.简单的输入限制未放在前台进行控制
4.增删改查操作未给出提示
5.虽然正确性不受影响，但系统性能和响应时间受到影响
6.功能不能重现，影响功能实现
7.显示格式不正确但输出正确
8.增删改功能，在本界面不能实现，但在另一界面可以补充实现。
　　D级：使操作者不方便或遇到麻烦，但它不影响执行工作功能或重要功能。界面拼写错误或用户使用不方便等小问题或需要完善的问题。
包括以下各种错误：
1.界面不规范
2.辅助说明描述不清楚
3.输入输出不规范
4.长时间操作未给用户提示
5.提示窗口文字未采用行业术语
6.可输入区域和只读区域没有明显的区分标志
7.必填项与非必填项应加以区别
8.滚动条无效
9.键盘支持不好，如在可输入多行的字段中，不支持回车换行；或对相同字段，在不同界面支持不同的快捷方式
10.界面不能及时刷新，影响功能实现
11.光标跳转设置不好，鼠标（光标）定位错误
12.一些建议性问题
13.系统处理未优化
六、测试环境
最终要在外网测试服环境测试通过，因为上线后用户是在外网进行的操作。（对软件需求规格说明书中的所有功能项进行测试。对软件项目的典型业务流程进行测试。）

七、压力测试
经过压力测试，要求项目在正式网上达到压力测试通过标准（对不同项目有不同的压力测试通过标准）。

黑盒测试：已知产品的功能设计规格，可以进行测试证明每个实现了的功能是否符合要求。利用其检查功能是否符合需求说明书，能够正常使用，
白盒测试：已知产品的内部工作过程，可以进行测试证明每种内部操作是否符合设计规格要求，所有内部成分是否经过检查
利用其检查程序模块的内部逻辑走向，主要覆盖程序内的逻辑。

Alpha测试在系统开发接近完成时对应用系统的测试;测试后仍然会有少量的设计变更。这种测试一般由最终用户或其它人员完成，不能由程序或测试员完成。由一个或多个用户在开发环境下进行测试。
Beta测试当开发和测试根本完成时所做的测试，最终的错误和问题需要在最终发行前找到。这种测试一般由最终用户或其它人员完成，不能由程序员或测试员完成。由一个或多个用户在用户实际环境下进行而是。

1.需求点100%被覆盖
2.被测功能点或控件100%被覆盖
3.必须验证正确性操作、正常数据和可能导致出错的数据、操作
4.有数据值域的必须考虑数据值域覆盖：边界值、等价类
5.所有边界值都必须覆盖
6.等价类必须包含有效和无效等价类
7.等价类各子类不存在交错以避免冗余
8.等价类的使用避开边界值
9.所有等价类都必须覆盖(等价类数量过多导致超过测试成本的，优先考虑有效等价类，然后根据数据使用频率、几率高低分优先级，高级优先覆盖，同时考虑自动化测试)
10.用例可以直接执行或易于准确执行
11.用例中的数据或描述不存在二义性或多义性，不会因执行人不同而产生不同执行结果
12.用例有明确的预期结果能够用于准确判断是否符合要求
13.集成用例必须包含打开系统和退出系统的验证
14.业务用例必须考虑不同模块数据和业务的一致性
15.含数据库部分必须包括数据库的验证
16.核心功能点必须被覆盖多次
17.用例设计必须提供设计思路、策略以便于评审和将来复用(含用例设计方法思路、数据分类等)

测试用例数量参照标准：
1.测试用例的数量不少于需求点数量
2.核心功能点用例数量必须大于非核心功能点用例数量
3.根据等价类、边界值的数量参照
有效用例的数量>=最大有效等价类(含有效边界值)数量
无效用例的数量>=所有无效等价类数量之和
用例数量>=最大有效等价类(含有效边界值)数量+所有无效等价类数量之和

八大要素是用例ID、用例名称、测试目的、测试环境、前提条件、测试步骤、 预期结果、设计人员。
测试用例可以分为基本事件、备选事件和异常事件。设计基本事件的用例，应该参照用例规约（或设计规格说明书），根据关联的功能、操作按路径分析法设计测试用例。
而对孤立的功能则直接按功能设计测试用例。基本事件的测试用例应包含所有需要实现的需求功能，覆盖率达100%。

兼容测试主要是检查软件在不同的硬件平台、软件平台上是否可以正常的运行，即是通常说的软件的可移植性。
兼容的类型，如果细分的话，有平台的兼容，网络兼容，数据库兼容，以及数据格式的兼容。
兼容测试的重点是，对兼容环境的分析。通常，是在运行软件的环境不是很确定的情况下，才需要做兼容。根据软件运行的
需要，或者根据需求文档，一般都能够得出用户会在什么环境下使用该软件，把这些环境整理成表单，就得出做兼容测试的兼容环境了。
兼容和配置测试的区别在于，做配置测试通常不是 Clean OS 下做测试，而兼容测试多是在 Clean OS 的环境下做的。

（1）在需求评审阶段，熟悉并分析需求，对每条需求进行拆解，并对有疑问的地方及时和产品经理/BA沟通；
（2）在设计测试用例阶段，我一般根据需求文档用XMind对测试点进行整理，然后再对每个测试点进行测试用例的设计；另外，我们产品经理会在研发管理系统里建立他的需求，我设计测试用例时会将用例关联到需求上面，确保每个需求都有用例覆盖到；
（3）在用例评审阶段，我们一般先组内进行详细的评审；然后召集产品经理、开发一起评审，主要是评审一些业务流程和跨系统的接口，确保大方向没有问题，之后根据评审结果及时修正测试用例；
（4）在测试阶段，我们会有交叉测试，因为每个人考虑问题的角度不一样。另外在测试过程中，如果发现用例有考虑不周全的地方，会及时完善进去；
（5）在BUG修复我们进行验证时，会将这个BUG相关联的部分也测试一下，防止一些代码改动影响到之前的功能；
（6）在上线前，会进行一个深度回归，回归的用例会和开发、产品一起评估决定。
在流行测试左移、右移。测试左移，是往测试前的开发阶段移，越早发现不合理的地方，出现问题的几率就越低。
测试右移，是往测试后的发布阶段移，第一时间发现线上的问题并解决。可以在第（2）点之前和第（6）点之后，针对测试左移和右移说说测试人员能做哪些事情、对确保产品质量有什么影响，我想这是一个跳出常规的加分项。
至于如何保证测试用例的覆盖率，可以回答（1）-（4）点，在描述第（2）点时，也可以说说你在设计测试用例时着重要考虑的点。比如，一些软件的业务流程比较复杂，设计测试用例不能只局限于表面的功能，要去深挖，多思考可能出现的场景；再比如一些边界值的测试、异常流程的测试等一些容易忽略的方面。

软件开发中的角色分工
一、项目经理
对整个项目负责，任务分配，把控进度；
二、产品经理
进行需求调研，输出需求调研文档、产品原型等；
三、UI设计师
根据产品原型输出界面效果图；
四、架构师
项目整体架构设计、技术选型等；
五、开发工程师
代码实现，只要做对的事情就行，不需要把事情做对；
六、测试工程师
编写测试用例，输出测试报告；
七、运维工程师
软件环境搭建、项目上线。

第1：测试用例的覆盖程度。最基本的是项目需求功能得全部覆盖，再都就是通过测试用例方法对功能测试点进行覆盖，100%的覆盖是不可能的，人不是万能的，没人的思维是完美的无懈可击的。再者每个项目都是有时间限制的
第2：用例是否已达到工作量最小化。 在满足用例覆盖程度最大化的前提下，应该尽量减小执行用例所需要的工作量。所以测试颗粒要适中，根据项目的情况而定。
第3：用例的分类，描述是否清晰 。用例分类，相同类型的用例是否放在一起，这样有助于理清思路，清楚了解测试用例设计是否完善。例如接口类用例、数据类用例、逻辑类用例等。也可以根据项目功能分类，这样有助于工作划分。它是用来指导执行测试的，所以清晰的描述是必要的，越清晰明执行时就越简单。
第4：测试用例是否表明目的。现在的项目都是多人协作，写明目的呢就是无论谁执行测试都能短时间进入执行工作。
第5：测试用例的易维护性，用例它是变动的，不是写完即可。需求的变动那么用例也得随着更新，或在执行过程想到新的测试点也需要新增到用例中。
第6：有充分的负面测试，一个好的项目除了正常使用外还需要一定的容错性对错误操作、输入进行一些处理
第7：测试用例没有重复没有冗余，避免重复的劳动减少工作量

回归测试的策略一般由测试经理或测试组长制定，初级软件测试人员只要按相应的策略执行测试即可。现以XYC邮箱的测试为例，简要介绍一下回归测试的基本策略。
（1）回归测试时执行全部的测试用例。
XYC邮箱V1.0版本的第一轮测试中发现100个Bug，那么在第二轮的回归测试中，除了测试这100个Bug之外，其他所有功能点的测试用例需要重新再执行一遍，这样做的原因在于，回归测试的V1.1版本是在修改了V1.0版本存在的100个Bug的基础上建立起来的。由于修复了大量的Bug，这就意味着要改动大量的代码，当多处代码被改动后谁也不能保证其他功能点不受影响，所以对所有的功能点进行测试是比较保险的，也是比较周密的，不会遗漏任何的测试点。使用此策略的时间周期和人力成本也是比较高的，一般情况下，当第一轮测试发现的Bug数量过多的情况下，第二轮回归测试应该执行全部的测试用例。
（2）选择重要的功能点、常用的功能点、与Bug相关联的功能点进行回归测试。
XYC邮箱的第二轮回归测试中又发现了40个Bug，那么在第三轮的回归测试过程中，除了要测试这40个Bug之外，还应当把重要的功能点、常用的功能点、与Bug相关联的功能点的测试用例再执行一遍，其他次要的测试用例可在时间充足的情况下选择性执行。
（3）选择性执行关键功能点的测试用例。
XYC邮箱的第三轮回归测试中又发现了12个Bug，那么在第四轮的回归测试过程中，除了测试这12个Bug之外，还可以选择性地执行一些关键功能点的测试用例，其他测试用例可在时间充足的情况下选择性执行。
（4）仅测试出现Bug的功能点。
如果测试组认为软件的功能点已经十分稳定了，回归测试的时候可选择仅测试出现Bug的功能点。每个策略都有其适应的场景，不能一概而论，应当以Bug的数量和严重程度为导向，深入分析，然后得出适合本项目的回归测试策略。
回归测试是在系统测试人员完成了需求评审、测试计划、用例设计、环境搭建、Bug提交等关键性的测试工作之后所要开展的工作，可以说此时的测试人员已经完全融入测试体系当中，也完全可以胜任相应的测试工作了。至于回归测试的策略，初级软件测试人员可通过先学习测试经理制定的策略，再从执行回归测试策略过程中进一步提升自己的测试经验。

测试同学在测试之前，需要熟读提测邮件内容，该邮件一般由本次需求的开发负责人来发送，一般提测邮件包含以下内容：
基本信息：
项目迭代名称：XXXXX
项目迭代类型：如新功能业务、优化业务、业务迭代、与第三方对接【SDK、平台对接】、数据对接等
是否完全交付：全部提测、部分提测等
交付内容：
后端：
提交的项目名称
提交的分支名称
前端：
Android：分支名称
IOS：分支名称
H5小程序
SQL脚本版本：
测试环境是否验证通过、生产环境是否需要备份
一般由DBA维护全量的脚本，测试测完之后，给运维提供的是增量的sql脚本-必须是测试环境验证通过的且经过DBA 审核通过的
SQL脚本一般包含建表语句、插入语句、增加索引、删除垃圾数据、更新数据等
系统配置及业务配置
一般在配置中心去配置一些参数，如每小时发短信的次数、短信开关是否开启等等
定时任务：
测试环境本次新增的定时任务，是否同步到生产环境
回滚步骤：一般由技术负责人填写
过程控制：
后端代码是否review
前端代码是否review
冒烟验证情况
开发冒烟验证情况很重要，测试同学在测试之前，基于开发的冒烟验证情况，同时跑一遍冒烟测试的案例，要是验证情况不符合预期，可以打回，等开发继续完善并修复已知问题，然后重新提测。
上线流程：
走层次审批流程，等技术经理确认无误可以上线后，运维同学才可以走发布流程。
测试同学一般基于该邮件回复，如测试环境验证通过，可以上预发布等，走上线流程，所以这邮件里边的每一个选项都要仔细确认清楚。
通常在开发提测后，我们首先要确认：
前后端代码是否都已经提交
提交的代码是否包含了与本次无关的内容，一般SVN -show log 可以看到最近的提交记录，前提是开发提交代码备注清楚
以上2项确认无误后，构建测试环境，将开发提交的最新需求的代码部署到测试环境，并进行冒烟测试。
以上就是项目提测的一个基本的checklist，很重要。如果是口头告知可以提测的，建议优化流程，收集基本的信息，走邮件，避免线上事故。

1、覆盖需求文档或者是产品原型图中涉及的需求，合理全面去设计可执行测试点，测试过程中运用等价类、边界值、场景法、经验等测试方法；
2、遇到问题和不懂得地方，多和产品沟通沟通，进而发现其他隐藏需求；
3、测试人员写完的用例或者测试点，主动找产品、研发、测试 leader 评审一下，这样方便我们从不同角度发现问题；
4、新项目，我们可以按照先通过冒烟测试发现主流程 BUG，再去覆盖正向流程，再去覆盖异常流程，最后覆盖非功能方面用例（兼容、易用、安全、性能等）。尽量按照这个流程去测试，效率也更高，这样我们也有时间拓展下其他测试思路。

代码覆盖率工具通常使用一个或多个标准来确定你的代码在被自动化测试后是否得到了执行，常见的覆盖率报告中看到的指标包括（代码覆盖率达到 100% 不代表设计没有问题）：
分支覆盖率（Branch coverage）
针对 if…else、case 等分支语句，看代码中设计的分支是否都被测试到了
语句覆盖率（Statement Coverage）
语句覆盖率上不去时，可以查看未覆盖处的代码是测试用例的疏忽、冗余代码或是保护用途的代码，比如case的default（如果出现此类，一般是case的条件已经全部列出，可以将最后一个条件改为default）；

翻转覆盖率（Toggle coverage）
包括两态翻转（0/1）和三态翻转（0/1/Z），常用的是两态翻转。对于单比特信号而言，若仿真用例使得该信号从0到1和从1到0的翻转均发生，则认为这里的翻转覆盖率是全面的（100%）。
即使翻转覆盖率达到 100%，分支覆盖率和语句覆盖率也不一定达到 100%。
条件覆盖率（Conditional coverage）
条件覆盖率可以看作是对分支覆盖率的补充。每一个分支条件表达式中，所有条件的覆盖。
状态机覆盖率（FSM coverage）
状态机覆盖率主要检查当前状态到下一个状态的跳转是否都跳转过。

需求评审的目的是使项目成员对需求理解达成共识，并第一时间发现需求不合理点或者需求遗漏。
需求评审的意义是：
1、传达产品理念；
2、完善需求；
3、建立成员的责任感。需求评审是一个统一目标，明确需求，确定实现过程的会议。

线上bug反馈来源：
1.运营同学接收到客服的电话反馈问题；
2.在客户服务群里，客户直接反馈的问题；
3.公司老板或者公司内部工作人员反馈的问题等等
遇到线上的bug要怎么做？
1.第一时间积极响应
与发现问题的人进行沟通，了解问题发生的场景、步骤、账号、手机型号、时间等关键信息，并给以一定的回复：我们稍后问题解决了，第一时间给您回复，做到让客户放心。
一般是运营同学或测试同学对接
2.有问题之后，测试同学第一时间在生产环境复现【或是测试环境】
在生产环境使用客户提供的信息进行复现，若复现不了，第一时间找对应的开发，一起查明问题。
测试同学将其问题记录在bug管理平台，并注明是线上问题。
如友盟平台-APP端检测与分析平台，提供行为日志，快速还原错误现场，可以帮助开发快速定位问题。
3.找到原因后，评估影响域
开发评估bug影响域: 是只有个别用户会出现这种情况，还是相同APP版本都会出现问题，要是影响域较大，要求紧急修复，要是影响范围较小，可以放在下期优化。
要是严重的bug,开发产品测试一起，确定要紧急修复，并对影响的范围进行评估，并对要测的范围进度梳理。测试要做好回归工作。
4.修复线上问题后 复盘
问题处理完毕后，一定要问清楚开发的原因，并让其详细的记录在bug 备注里边。
测试同学要反思：
为啥测试环境无法复现，是否存在漏测等等;
要主动担责，不逃避；
总结经验并在以后的工作中避免。
总结：
线上出bug是很正常的一件事情，不需要怕，遇到问题积极应对处理，多复盘。
一般线上的问题会有专门指定的测试人员去收集信息，整理 并定期复盘，同开发产品一起，对问题出现的原因进行评估，并提出改进建议。
1.该优化流程就优化流程如代码提交流程不规范，上线的代码里边包含了正在开发且未提测的内容
2.代码review 不到位 3.没有对修复代码的影响范围进行评估，4.漏测 等等。

在软件测试中，出现漏测的情况是很常见的，不论是因为时间紧迫、测试人员疏忽、测试用例设计不完善等原因所导致的。如果在测试过程中发现漏测了某些问题，
需要采取以下措施：
1. 分析漏测的原因。了解漏测的原因是什么，是否是测试用例设计不完善、测试人员疏忽大意等原因，以便对相应的问题采取针对性的措施。
2. 重新设计测试用例。如果漏测的问题是因为测试用例设计不完善，需要重新设计测试用例，包括增加新的测试用例、修改原有的测试用例等，以覆盖所有可能存在的问题。
3. 执行回归测试。当发现漏测的问题时，需要进行回归测试，确保之前测试过的功能模块没有受到新的问题的影响，同时也需要对已修复的问题进行验证。
4. 增加自动化测试。自动化测试可以大大提高测试效率和覆盖范围，尤其是对于重复性的测试任务，可以减少测试人员的工作量，并提高测试的准确性和可靠性。
5. 加强沟通和协作。测试人员需要与开发人员和产品经理等其他团队成员进行充分的沟通和协作，共同解决出现的问题，以确保软件的质量和稳定性。
6. 总结经验教训。每次漏测问题都应该进行总结和分析，找出问题的根本原因，并采取相应的措施加以解决，以提高测试质量和效率。

逻辑覆盖、循环覆盖、同行评审、桌前检查、代码走查、代码评审、景泰数据流分析

1）读者群。文档面向的读者定位要明确。对于初级用户、中级用户以及高级用户应该有不同的定位
　（2）术语。文档中用到的术语要适用与定位的读者群，用法一致，标准定义与业界规范相吻合。
　（3）正确性。测试中需检查所有信息是否真实正确，查找由于过期产品说明书和销售人员夸大事实而导致的错误。检查所有的目录、索引和章节引用是否已更新，尝试链接是否准确，产品支持电话、地址和邮政编码是否正确。
　（4）完整性。对照软件界面检查是否有重要的分支没有描述到，甚至是否有整个大模块没有描述到。
　（5）一致性。按照文档描述的操作执行后，检查软件返回的结果是否与文档描述的相同。
　（6）易用性。对关键步骤以粗体或背景色给用户以提示，合理的页面布局、适量的图表都可以给用户更高的易用性。需要注意的是文档要有助于用户排除错误。不但描述正确操作，也要描述错误处理办法。文档对于用户看到的错误信息应当有更详细的文档解释。
　（7）图表与界面截图。检查所有图表与界面截图是否与发行版本相同。
　（8）样例与示例。像用户一样载入和使用样例。如果是一段程序，就输入数据并执行它。以每一个模块制作文件，确认它们的正确性。
　（9）语言。不出现错别字，不要出现有二义性的说法。特别要注意的是屏幕截图或绘制图形中的文字。
　（10）印刷与包装。检查印刷质量；手册厚度与开本是否合适；包装盒的大小是否合适；有没有零碎易丢失的小部件等等。

强度测试是为了确定系统在最差工作环境的工作能力,也可能是用于验证在标准工作压力下的各种资源的最下限指标。
它和压力测试的目标是不同的,压力测试是在标准工作环境下,不断增加系统负荷,最终测试出该系统能力达到的最大负荷(稳定和峰值),而强度测试则是在非标准工作环境下,甚至不断人为降低系统工作环境所需要的资源,如网络带宽,系统内存,数据锁等等,以测试系统在资源不足的情况下的工作状态,通过强度测试,可以确定本系统正常工作的最差环境.
强度测试和压力测试的测试指标相近,大多都是与时间相关的指标,如并发量(吞吐量),延迟(最大\最小\平均)以及顺序指标等
强度测试需要对系统的结构熟悉,针对系统的特征设计强度测试的方法

瓶颈主要是指整个软硬件构成的软件系统某一方面或者几个方面能力不能满足用户的特定业务要求，“特定”是指瓶颈会在某些条件下会出现，因为毕竟大多数系统在投入前。
严格的从技术角度讲，所有的系统都会有瓶颈，因为大多数系统的资源配置不是协调的，例如CPU使用率刚好达到100％时，内存也正好耗尽的系统不是很多见。因此我们讨论系统瓶颈要从应用的角度讨论：关键是看系统能否满足用户需求。在用户极限使用系统的情况下，系统的响应仍然正常，我们可以认为改系统没有瓶颈或者瓶颈不会影响用户工作。
因此我们测试系统瓶颈主要是实现下面两个目的：
-发现“表面”的瓶颈。主要是模拟用户的操作，找出用户极限使用系统时的瓶颈，然后解决瓶颈，这是性能测试的基本目标。
-发现潜在的瓶颈并解决，保证系统的长期稳定性。主要是考虑用户在将来扩展系统或者业务发生变化时，系统能够适应变化。满足用户目前需求的系统不是最好的，我们设计系统的目标是在保证系统整个软件生命周期能够不断适应用户的变化，或者通过简单扩展系统就可以适应新的变化。

软件产品在投产前，通常都会进行用户验收测试。如果用户验收测试没有通过，直接结果就是那不到“Money”，间接影响是损害了公司的形象，而后者的影响往往更严重。根据作者的经验，用户验收测试一定要让用户满意。
实际上用户现场测试更趋于是一种演示。在不欺骗用户的前提下，我们向用户展示我们软件的优点，最后让“上帝”满意并欣然掏出“银子”才是我们的目标。因此用户测试要注意下面的事项：
（1）用户现场测试不可能测试全部功能，因此要测试核心功能。这需要提前做好准备，这些核心功能一定要预先经过测试，证明没有问题才可以和用户共同进行测试。测试核心模块的目的是建立用户对软件的信心。当然如果这些模块如果问题较多，不应该进行演示。
（2）如果某些模块确实有问题，我们可以演示其它重要的业务功能模块，必要时要向用户做成合理的解释。争得时间后，及时修改缺陷来弥补。
（3）永远不能欺骗用户，蒙混过关。道理很简单，因为软件是要给用户用的，问题早晚会暴露出来，除非你可以马上修改。
和用户进行测试还要注意各种交流技巧，争取不但短期利益得到了满足，还要为后面得合作打好基础。

测试人员提交新的Bug入库，错误状态为New。
高级测试员/测试经理验证错误，如果确认是错误，分配给开发组。设置状态为Open。如果不是错误，则拒绝，设置为Declined状态。
开发经理分配bug至对应的模块开发人员。
开发人员查询状态为Open的Bug，如果不是错误，则置状态为Declined；如果是Bug则修复并置状态为Fixed。不能解决的Bug，要留下文字说明及保持Bug为Open状态。
对于不能解决和延期解决的Bug，不能由开发人员自己决定，一般要通过某种会议（评审会）通过才能认可。
测试人员查询状态为Fixed的Bug，然后验证Bug是否已解决，如解决，置Bug的状态为Closed，如没有解决,置bug状态为Reopen。

硬件平台和操作系统
测试应用的硬件平台（Platform），通常选择“PC”。
测试应用的操作系统平台（OS）。
a) 版本
提交缺陷报告时通过该字段标识此缺陷存在于被测试软件的哪个版本。
b) Bug报告优先级
c) Bug状态
d) Bug的编号
e) 发现人
f) 提交人
g) 指定处理人
h) 概述
i) 从属关系
j) 详细描述
k) 严重程度
l) 所属模块
m) 附件
n) 提交日期

黑盒测试：已知产品的功能设计规格，可以进行测试证明每个实现了的功能是否符合要求。
　　白盒测试：已知产品的内部工作过程，可以通过测试证明每种内部操作是否符合设计规格要求，所有内部成分是否以经过检查。
　　软件的黑盒测试意味着测试要在软件的接口处进行。这种方法是把测试对象看做一个黑盒子，测试人员完全不考虑程序内部的逻辑结构和内部特性，只依据程序的需求规格说明书，检查程序的功能是否符合它的功能说明。因此黑盒测试又叫功能测试或数据驱动测试。黑盒测试主要是为了发现以下几类错误：
　　1、是否有不正确或遗漏的功能？
　　2、在接口上，输入是否能正确的接受？能否输出正确的结果？
　　3、是否有数据结构错误或外部信息（例如数据文件）访问错误？
　　4、性能上是否能够满足要求？
　　5、是否有初始化或终止性错误？
　　软件的白盒测试是对软件的过程性细节做细致的检查。这种方法是把测试对象看做一个打开的盒子，它允许测试人员利用程序内部的逻辑结构及有关信息，设计或选择测试用例，对程序所有逻辑路径进行测试。通过在不同点检查程序状态，确定实际状态是否与预期的状态一致。因此白盒测试又称为结构测试或逻辑驱动测试。白盒测试主要是想对程序模块进行如下检查：
　　1、对程序模块的所有独立的执行路径至少测试一遍。
　　2、对所有的逻辑判定，取“真”与取“假”的两种情况都能至少测一遍。
　　3、在循环的边界和运行的界限内执行循环体。
　　4、测试内部数据结构的有效性，等等。
　　单元测试（模块测试）是开发者编写的一小段代码，用于检验被测代码的一个很小的、很明确的功能是否正确。通常而言，一个单元测试是用于判断某个特定条件（或者场景）下某个特定函数的行为。
　　单元测试是由程序员自己来完成，最终受益的也是程序员自己。可以这么说，程序员有责任编写功能代码，同时也就有责任为自己的代码编写单元测试。执行单元测试，就是为了证明这段代码的行为和我们期望的一致。
　　集成测试（也叫组装测试，联合测试）是单元测试的逻辑扩展。它的最简单的形式是：两个已经测试过的单元组合成一个组件，并且测试它们之间的接口。从这一层意义上讲，组件是指多个单元的集成聚合。在现实方案中，许多单元组合成组件，而这些组件又聚合成程序的更大部分。方法是测试片段的组合，并最终扩展进程，将您的模块与其他组的模块一起测试。最后，将构成进程的所有模块一起测试。
　　系统测试是将经过测试的子系统装配成一个完整系统来测试。它是检验系统是否确实能提供系统方案说明书中指定功能的有效方法。（常见的联调测试）
　　系统测试的目的是对最终软件系统进行全面的测试，确保最终软件系统满足产品需求并且遵循系统设计。
　　验收测试是部署软件之前的最后一个测试操作。验收测试的目的是确保软件准备就绪，并且可以让最终用户将其用于执行软件的既定功能和任务。
验收测试是向未来的用户表明系统能够像预定要求那样工作。经集成测试后，已经按照设计把所有的模块组装成一个完整的软件系统，接口错误也已经基本排除了，接着就应该进一步验证软件的有效性，这就是验收测试的任务，即软件的功能和性能如同用户所合理期待的那样。

版本控制命名格式: 主版本号.子版本号[.修正版本号[.编译版本号 ]]
Major.Minor [.Revision[.Build]]

应根据下面的约定使用这些部分：
Major ：具有相同名称但不同主版本号的程序集不可互换。例如，这适用于对产品的大量重写，这些重写使得无法实现向后兼容性。
Minor ：如果两个程序集的名称和主版本号相同，而次版本号不同，这指示显著增强，但照顾到了向后兼容性。例如，这适用于产品的修正版或完全向后兼容的新版本。
Build ：内部版本号的不同表示对相同源所作的重新编译。这适合于更改处理器、平台或编译器的情况。
Revision ：名称、主版本号和次版本号都相同但修订号不同的程序集应是完全可互换的。这适用于修复以前发布的程序集中的安全漏洞。
BVT(BuildVerificationTest)：
作为Build的一部分，主要是通过对基本功能、特别是关键功能的测试，保证新增代码没有导致功能失效，保证版本的持续稳定。实现BVT方式是有以下几种：1、测试人员手工验证关键功能实现的正确性。特点：这是传统开发方法中，通常采用的方式。无需维护测试脚本的成本，在测试人力资源充足，测试人员熟悉业务、并对系统操作熟练情况下效率很高，比较灵活快速。缺点：人力成本较高；对测试人员能力有一定要求；测试人员面对重复的工作，容易产生疲倦懈怠，从而影响测试质量。2、借助基于GUI的自动化功能测试工具来完成，将各基本功能操作录制成测试脚本，每次回放测试脚本验证功能实现的正确性。特点：能够模拟用户操作完成自动的测试，从UI入口到业务实现，每一层的代码实现都经过验证；节约人力成本；降低测试人员重复劳动的工作量，机器不会疲倦；缺点：对于UI变动比较频繁的系统来说，这种方式的维护成本很高，实施起来非常困难。另外，在项目周期较短且后续无延续性或继承的情况下，也不推荐使用此方式。3、由开发人员通过自动化测试工具完成业务层的BVT测试。特点：通过对业务层关键功能的持续集成测试，保证系统功能的持续稳定。可以结合DailyBuild，做为Build的一部分，自动实现并输入BVT报告。缺点：仅对业务规则实现的正确性进行了测试，对表现层无法测试到，对于诸如：前台页面控件各种事件响应、页面元素变化等方面的问题无法保证。

集成测试是软件开发过程中重要的一环，它可以检查系统中各个组件之间的交互是否正确，以及整个系统是否按照设计要求运行。在进行集成测试时，可以采用以下几种策略：

1.自下而上(Bottom-up)策略
该策略从系统最底层的模块开始测试，逐层向上，直到测试整个系统。这种策略可以快速检测出模块之间的接口问题，但可能会忽略系统的整体性能。

2.自上而下(Top-down)策略
该策略从系统最高层的模块开始测试，逐层向下，直到测试整个系统。这种策略可以检测整个系统的整体性能，但可能会延迟发现模块之间的接口问题。

3.增量式(Incremental)策略
该策略将系统分为多个模块，逐个模块进行测试，并逐渐将测试的模块组合起来，最终测试整个系统。这种策略可以较早地发现系统中的问题，但测试成本相对较高。

缺陷严重程度：
致命（Fatal）、严重（Critical）、一般（Major）、较小（Minor）。
缺陷优先级：
立即解决P1、高优先级P2、正常排队P3、低优先级P4。

软件测试评估是指对未正式投入商业化使用的软件进行预先的小规模试验，又称小试。主要是由代码审查和合理性分析组成。
作用如下：
1. 开发人员若得知他们的代码会被测试评估，他们会更加努力工作。
2. 软件测试评估可以改进开发人员的编程技术
3. 软件测试评估有利于导师制度，程序员们会学到更多
4. 软件测试评估可以实现优质文化的传承
5. 软件测试评估可以激发团队凝聚力
评估的范围很广,例如功能，性能，美观，易用性的，健壮性的，安全性的，兼容性，效率等软件好坏的的衡量指标，可以参考需求
测试评估的范围：功能，性能，界面，实用性，速度，兼容性，易用性，各模块的完善性等

边界值分析法就是对输入或输出的边界值进行测试的一种黑盒测试方法。通常边界值分析法是作为对等价类划分法的补充，这种情况下，其测试用例来自等价类的边界。
常见的边界值
1)对16-bit 的整数而言 32767 和 -32768 是边界
2)屏幕上光标在最左上、最右下位置
3)报表的第一行和最后一行
4)数组元素的第一个和最后一个
5)循环的第 0 次、第 1 次和倒数第 2 次、最后一次

1. 数据库备份
内容正确性、不同介质与空间的备份，备份异常处理、大数据量的备份、部分or全部备份
2. 数据库恢复
备份恢复操作是否正常、恢复过程中对异常情况的处理，不同环境下的恢复
3. 数据库权限管理
权限设备、各权限分配功能实现
4. 视图测试
测试数据库视图定义是否反映了用户的需求
5. 数据库功能测试
通过测试用例运行数据库，以验证该数据库功能的正确和无遗漏。数据库功能测试的内容包括数据定义、数据操纵、数据库安全性、并发处理等的测试
6. 数据操作和更新
增、删、改、查等操作
7. 数据的完整性
实体完整性、参照完整性、用户定义的完整性等测试
8. 数据的有效性
确保数据库存储信息的正确性
9. 数据库安全测试
测试数据库的安全措施是否发挥作用并达到预期效果，有无漏洞
10. 并发处理测试
为了找出数据库系统并发处理机制的可能缺陷，进行并发处理测试
11. 数据库性能测试
数据库性能测试分为平均性能测试、压力测试、负载测试和强度测试4种类型
12. 空数据库测试
数据库表中所有的内容全部清空，只留下一个管理员账户信息，检查系统的所有功能操作是否能够正常实现
13. SQL语句优化
14. 存储过程的接口测试
15. 触发器的接口测试
16. 结合业务逻辑做关联表的接口测试

逆向测试是一种测试方法，旨在评估软件系统的安全性和防御能力，通过尝试绕过系统的设计来发现潜在的漏洞和弱点。以下是逆向测试的基本步骤：
1 确定测试目标：明确要测试的系统或软件的功能和特性。
2 收集信息：收集有关该软件的任何可能对测试有用的信息，包括其体系结构、架构、技术构成和依赖项等。
3 制定测试计划：制定测试计划，包括测试场景、测试用例、测试环境和测试数据。测试场景应该模拟攻击者可能采取的各种方法，例如尝试未经授权的访问、注入恶意代码、篡改数据等。
4 执行测试：根据测试计划执行测试，并记录测试结果和发现的漏洞。
5 分析和整理测试结果：对测试结果进行分析和整理，以确定哪些漏洞需要修复和如何修复它们。
6 提供测试报告：汇总测试结果并生成测试报告，包括发现的漏洞、建议的解决方案和测试过程中的所有细节。
总之，逆向测试需要测试人员具备良好的技术能力和专业知识，以便能够识别并充分利用软件架构和漏洞，从而发现潜在的漏洞问题。

测试左移（Shift-Left Testing）是一种新兴的软件测试理念，旨在将软件测试从开发过程的末端转移到开发的初始阶段。
其目的是尽早发现软件的问题，缩短测试周期，提高软件质量，并减少测试成本。
测试左移的理念源于敏捷开发的思想，即将开发的重点转移到软件集成的早期阶段，让测试与开发同步进行。有助于发现问题，并在早期就解决它们。
所以，测试左移将测试和开发紧密结合，使开发和测试过程更加有效，以便及时发现和解决软件中的问题。
企业实践经验表明，测试左移能够有效地提高软件质量，从而提高客户满意度。
通过将测试从开发过程的末端转移到开发的初始阶段，可以更快地发现软件中存在的问题，并及时修复。
这样，可以最大限度地减少测试成本，提高开发效率，达到企业的业务目标。
举例来说，一家公司正在开发一款软件，为了确保软件的质量，公司将采用测试左移的方法。
因此，在开发过程的初始阶段，就需要进行测试工作，以确保软件的正确性和可靠性。
例如，测试工程师可以针对其中的每个模块进行测试，以确保模块之间的相互兼容性和功能性。
此外，还可以进行单元测试，以确保软件中每个部分的正确性
因此，在软件开发的初期，就对不同操作系统进行测试，以确保软件能够在各种操作系统中正常运行。
此外，还可以对软件的功能进行测试，以确保软件的功能能够实现预期的效果，并且和不同操作系统的兼容性也得到保证。
通过采用测试左移的方法，可以有效地提高软件质量。可以尽早发现软件中的问题，从而减少测试成本，提高开发效率，提高客户满意度，有助于企业实现业务目标。
因此，测试左移是一种有效的软件测试理念，值得企业采纳。

首先敏捷测试(Agile testing)是测试的一种，原有测试定义中通过执行被测系统发现问题，通过测试这种活动能够提供对被测系统提供度量等概念还是适用的。

敏捷测试是遵循敏捷宣言的一种测试实践:
①强调从客户的角度，即从使用系统的用户角度，来测试系统。
②重点关注持续迭代地测试新开发的功能，而不再强调传统测试过程中严格的测试阶段。
③建议尽早开始测试，一旦系统某个层面可测，比如提供了模块功能，就要开始模块层面的单元测试，同时随着测试深入，持续进行回归测试保证之前测试过内容的正确性。

● 敏捷测试的特点●
既然敏捷测试属于一种新的测试实践，那么到底它有什么的特点呢？我用“四个更”来归纳：
① 更强的协作
敏捷开发人员和测试人员工作得更加紧密，喜欢更直接的沟通方式而不是通过邮件文档这种一来一回反反复复的沟通模式；
② 更短的周期
需求验证或测试的时间不再是按月来计算，而是按天甚至按小时计算。用户验收测试在每个sprint的结尾都会进行；
③ 更灵活的计划
敏捷测试也需要拥抱变化，测试计划不再是一成不变的文档，而会根据业务价值交付的顺序进行灵活的调整；
④ 更高效的自动化
相比传统测试，自动化在敏捷测试中扮演了极其重要的角色。它是实现快速交付确保质量的一种非常有效的手段

1. 吃透业务需求
需求评审阶段，产品经理、开发、测试在开会之前，一般都会收到一份需求文档和原型图。

2.提高用例质量
提高用例覆盖率，结合业务设计有效业务场景，保证测试有效性。

3. 做好用例评审
测试人员结合用例对需求进行反串讲，把对需求的理解讲一遍，列出所有的测试点和测试场景，产品和开发同事评审是否有遗漏场景，如果没有异议，这样就可以很大程度上避免漏测了。

4.增加交叉测试
一个人精力毕竟有限，如果条件和时间允许，可以把测试过的功能交给你的搭档，让他帮忙再测试一下，毕竟每个人的测试思路不一样，也许也有收获也不一定呢。

5.有效回归测试
梳理主流程用例，尤其随着版本迭代和功能的增加，回顾测试用例极为重要，毕竟每次发版时，要保证主流程没问题吧，主流程都有问题，难道还敢上线?

6. bug仲裁
在上线前，查看还有哪些问题，是未解决的，与产品、开发、测试经理商量，哪些bug是允许带到线上的，如果三方达成一致，那么线上再出问题，也是已知的，就没什么问题了。

7. 做好漏测复盘
对待漏测态度上必须要重视，分析为何会漏测，是哪个环节出了问题，是流程问题还是技术问题?

输入数据验证：
本节包含了一系列检查，这些检查通常可以对输入到应用程序系统中的数据采用。

必传项测试
唯一字段值测试
空值测试
字段只接受允许的字符
负值测试
字段限于字段长度规范
不可能的值
垃圾值测试
检查字段之间的依赖性
等效类划分和边界条件测试
错误和异常处理测试
日期验证：
这构成了日期字段的一组条件。

各种日期格式
美式风格的日期格式
有效日期
无效的日期，例如
月份00和13
Day不包含00和32作为其值
28、29、30已正确验证
检查周末和银行假期的影响
年与2月29日之间的链接
时间验证：
这构成了时间字段的一组条件

各种时间格式，例如12/24小时格式，AM / PM
检查有效时间
检查无效时间
检查周末和工作假期的影响
邮政编码验证：
这构成了邮政编码字段的一组条件

测试部分邮政编码输入并检查邮政编码格式
测试空间/无空间
检查是否有手动输入地址的选项
系统接口：
这构成了在多个应用程序系统之间传输的字段的一组条件。

检查接口上的所有字段/参数是否正确执行
所有数据字段都需要按照验证列表正常工作
跨自动化接口的安全性测试
检查继承关系
可用性：
这构成一组条件，有助于验证应用程序系统的可用性。

检查布局是否与设计标准一致
检查字体，颜色，大小等。
测试品牌准则
检查每个应用程序的窗口标题是否都有应用程序的名称和窗口名称
检查对齐
检查屏幕是否可调整大小和最小化
拼写检查
必要时测试默认值
必填字段需要用星号符号突出显示
安全：
这构成一组条件，有助于验证应用程序系统的安全性。

密码不可见
访问测试-多个级别
更改密码
错误消息不应泄露任何系统信息
检查是否正确部署了SSL
检查是否应用了锁定规则
检查密码是否以明码或加密方式保存
使用有效的UserId和无效的UserId验证应用程序
使用有效密码和各种无效密码验证应用程序
通过直接输入有效的URL来检查对应用程序的访问。系统应询问登录详细信息。
确保浏览器不记得密码
记录，审核和跟踪：
这由一组条件组成，这些条件有助于验证应用程序系统的审核记录，系统日志等。

检查是否在指定时间段内保存了日志
检查日志中是否包含个人数据
检查是否记录了管理员功能
检查是否记录了用户锁定事件
业务应用程序逻辑：
这构成一组条件，有助于验证应用程序系统的应用程序逻辑和业务处理。

检查是否探索了所有可用产品的选项
检查所有升级和降级路径及选项
验证升级和降级已应用于计费，网络，自助等
停止/断开连接/终止行为
设备故障行为
检查计算金额的舍入
确保使用的测试帐户的完整范围，类型/状态/条件
检查是否按要求显示货币符号
验证没有重复的记录。
在涉及算术的情况下，使用大量或非常大的数量/数字，以显示的和实际的数据形式检查溢出
报告：
本节包含一组检查，这些检查有助于验证系统提供的报告功能。

所有字段均可用
字段应有足够的空间
启用滚动和平移
页码指示报告大小（N个，共M个），并应允许访问报告中的中/终点
报告已正确导出到Excel / Word文档
报告可以正确打印，所有数据正确显示
检查报告中的所有页面是否都可访问
环境：
本节包含一组检查，这些检查有助于验证AUT的环境或设备要求。

使用所有浏览器进行测试
通过启用和禁用Java脚本进行测试
电邮：
本节包含一组可用于验证电子邮件功能的检查

验证在发送电子邮件时是否提供确认消息
验证电子邮件中提供的链接是否正常运行
确认回复地址正确
验证电子邮件中的字体，大小和文本对齐是否正确
搜索条件：
本节包含对应用程序系统搜索功能的一系列检查。

验证滚动条已实现
验证对齐结果正确无误
验证是否为搜索条件的任意组合显示了有效的结果。
验证是否针对AND / OR条件检索到正确的结果
验证结果以字母顺序或指定顺序显示
验证列标题是否可排序

2者相同点：
1.设计测试用例方法相同；
2.测试方法相同，都是通过黑盒测试验证业务逻辑；
3.都需检查页面UI，页面布局、风格和按钮是否美观统一、美观；
4.页面性能测试相同，验证页面打开快慢；
5.应用的稳定性

2者不同点：APP需考虑手机本身属性
1.web项目，一般都是b/s架构，基于浏览器的，而app则是c/s的，必须要有客户端。那么在系统测试测试的时候就会产生区别了。
首先从系统架构来看的话，web测试只要更新了服务器端，客户端就会同步会更新。而且客户端是可以保证每一个用户的客户端完全一致的。但是app端是不能够保证完全一致的，除非用户更新客户端。如果是app下修改了服务端，意味着客户端用户所使用的核心版本都需要进行回归测试一遍。
2.性能方面，web页面可能只会关注响应时间，而app则还需要关心流量、电量、CPU、GPU、Memory这些了。
3.兼容方面，web是基于浏览器的，所以更倾向于浏览器和电脑硬件，电脑系统的方向的兼容，不过一般还是以浏览器的为主。而浏览器的兼容则是一般是选择不同的浏览器内核进行测试（IE、chrome、Firefox）。app的测试则必须依赖phone或者是pad，不仅要看分辨率，屏幕尺寸，还要看设备系统。系统总的来说也就分为Android和iOS。
4.相比较web测试，app更是多了一些专项测试：
一些异常场景的考虑以及弱网络测试。这里的异常场景就是中断，来电，短信，关机，死机、重启、蓝牙、闹钟、插拔数据线等。
而弱网测试是app测试中必须执行的一项测试。包含弱网和网络切换测试。需要测试弱网所造成的用户体验，重点要考虑回退和刷新是否会造成二次提交。需要测试丢包，延时的处理机制。避免用户的流失。
安装、卸载、更新：
web测试是基于浏览器的所以不必考虑这些。而app是客户端的，则必须测试安装、更新、卸载。除了常规的安装、更新、卸载还要考虑到异常场景。包括安装时的中断、弱网、安装后删除安装文件，更新的强制更新与非强制更新、增量包更新、断点续传、弱网，卸载后删除app相关的文件等等。
界面操作：
现在app产品的用户都是使用的触摸屏手机，所以测试的时候还要注意手势，横竖屏切换，多点触控，事件触发区域等测试。

1、扇入
扇入是指将多个输入通道汇聚成一个输出通道的过程或操作，是一种广泛应用于计算机科学和网络体系结构中的概念。
在计算机科学中，扇入用于描述多个进程、线程或信号源通过各自的输入通道传输数据，将这些数据转换并合并到单个输出通道中的过程。它减少了IO压力，提高了系统效率，同时也简化了处理和管理多个输入数据流的复杂性。
在网络体系结构中，扇入通常表示允许多个终端设备连接到单个网络点或交换机，从而共享单个物理连接。这种架构可以提供更多的灵活性，并允许多个客户端以较低的成本或资源消耗访问云服务或共享服务器等资源。
总之，扇入是一种被广泛应用于计算机科学、网络架构和通信技术中的重要概念，其优点包括增强系统性能、降低硬件成本、简化系统操作等。

2、扇出
扇出是指一个输入信号被分配到多个输出通道或设备的过程，通常用于描述计算机系统中的数据分发和传输。
在计算机网络中，扇出通常表示单个路由器、交换机或服务器通过多个物理连接向多个客户端发送数据。这种方法使得多个终端设备能够同时从单个源获取数据，并支持同步数据传输和高效能捕获各类信息。
在微服务架构或分布式系统中，扇出也可以表示将数据或请求分配给多个服务实例或不同的系统节点，以便提高响应时间和可靠性，并减少单一故障对整个系统造成的影响。
总之，“扇出”是一种允许相同输入数据同时发送到多个输出通道或设备的技术，已广泛应用于计算机网络，大数据处理，云计算和分布式系统等领域，有助于提高系统性能并增强系统的使用效率。

开发首先要规范好编码，出低级错时不要指责，内心指出错误。让他们自己进行测试，反思找出错误。

没有接口文档，想做接口测试的话，自己实践过以下2种方式：
1。 通过抓包的方式，根据业务流获取到对应的接口，然后整理成相关文档，如果有不清楚的字段，将问题汇总后找开发咨询，然后在进行接口测试。（抓包工具charles）
2。可以通过 jmeter 的代理录制功能，将接口逐一录制下来形成接口文档，然后再逐一进行接口测试。

发现问题，多次尝试仍然不能重现，先把bug记录到bug管理平台上，回忆问题发生的场景，详细的描述操作步骤、业务流、记录出现问题的设备的操作系统及版本，APP应用的版本，环境信息，测试账号信息等。
附带对应的截图或录屏，备注问题发生的时间（时间很重要，方便开发定位到某个时间段的日志）
【只要发现问题，都要记录到bug 管理平台】
一定要在bug标题标注是偶现，备注中写出出现的频率，或者是发生过的次数。避免开发自测时只验证一次该问题没有复现就关闭了bug。
如果项目时间允许，bug等级高，需要开发协助重现；如果时间不允许，记录到bug平台长期跟进。每一轮回归测试都重新回归该bug。多轮回归未重新复现该bug且bug等级低，就可以关闭该bug了，若bug等级高，多轮回归测试未复现，让开发协助复现，如果还是复现不了，在后续的版本继续跟进。

软件测试常见的风险,软件测试中常见的风险分析
在软件测试或者App测试⼯作中，主要的风险表现有以下⼏点：
(1)需求风险。对软件需求理解不准确，导致测试范围存在误差，遗漏部分需求或者执⾏了错误的测试⽅式；另外需求变更导致测试⽤例变更，同步时存在误差。
(2)测试⽤例风险。测试⽤例设计不完整，忽视了边界条件、异常处理等情况，⽤例没有完全覆盖需求；测试⽤例没有得到全部执⾏，有些⽤例被有意或者⽆意的遗漏；
(3)缺陷风险。某些缺陷偶发，难以重现，容易被遗漏；
(4)代码质量风险。软件代码质量差，导致缺陷较多，容易出现测试的遗漏；
(5)测试环境风险。有些情况下测试环境与⽣产环境不能完全⼀致，导致测试结果存在误差；
(6)测试技术风险。某些项⽬存在技术难度，测试能⼒和⽔平导致测试进展缓慢，项⽬延期；
(7)回归测试风险。回归测试⼀般不运⾏全部测试⽤例，可能存在测试不完全；
(8)沟通协调风险。测试过程中涉及的⾓⾊较多，存在不同⼈员、⾓⾊之间的沟通、协作，难免存在误解、沟通不畅的情况，导致项⽬延期；
(9)其它不可预计风险。⼀些突发状况、不可抗⼒等也构成风险因素，且难以预估和避免。
以上是测试过程中可能发⽣的风险，其中有的风险是难以避免的，如缺陷风险等。有的风险从理论上可以避免，但实际操作过程中出于时间和成本的考虑，也难以完全回避，如回归测试风险等。对于难以避免的风险，我们的⽬标是将风险降到最低⽔平。

首先我们需要弄清楚是什么原因导致出现这种情况。到底是内部原因导致还是外部原因导致,说到底如果是外部原因导致基本都是由于需求变更引起的,内部原因通常为开发延期导致。

　在下面我会列举常见的处理方法：

　1、如果是需求变更导致的测试周期被压缩,那我们测试的时候必须先跟项目经理、测试经理说明该情况并得到统一的意识,并与客户沟通争取更长的软件周期。

　2、如果是内部原因引起的测试周期被压缩,那我们可以通过以下方法来处理：

　　①、向领导说明当前情况,要求增加测试人员(确保人手进来要能提高进度,而不是延慢进度,带来更多问题,最好心有某些人选,无论给不给,先要再说)：

　　　如果有完整的测试计划/测试方案,可以通过增加测试人员来加快测试速度；

　　　如果没有完整的测试计划/方案,或者无法协调增加测试人员，可以选择加班来完成；也可以考虑协调开发人员参与,交叉测试模块;

　　②、重新制定测试策略：

　　其实在实际的情况下,很多公司团队都会遇到测试周期被压缩还无法增加/协调到相关人员来参与测试情况。那此时我们只有重新调整测试策略了。

　　　首先我们需要和项目经理说明情况并协调变更测试范围(优先保证核心和重要功能的测试)；

　　　还有安排测试的时候需要优化测试人员安排,尽量让经验丰富、能力较强的人员测试复杂的模块,能力一般的人做简单的模块；

　　　还可以和开发沟通,确认风险较大的地方重点测试等。

还可以和开发确认能不能分级进行提测

　　③、测试周期被压缩的时候必须加强风险管理

如果时间还是不够，也要及时反馈当前的测试情况，汇报测试结果，尽早把风险提出来，比如加班也完不成，或者压缩测试时间会影响版本质量等，预留应对时间看怎么解决问题

系统复杂性：随着软件功能和规模的不断扩大，软件系统变得越来越复杂，其测试工作也越来越困难。因此，测试人员需要掌握更多的测试技术和工具，以有效地应对系统复杂性。时间压力：软件测试是软件开发生命周期中的一个重要环节，通常需要在短时间内完成大量测试任务。然而，受到项目进度控制、质量要求等多种因素的影响，测试人员往往需要在有限的时间内完成测试任务，这给测试人员带来了较大的压力。需求变更：随着市场需求和客户需求的不断变化，软件需求也会不断调整和修改。这对软件测试工作提出了更高的要求，需要测试人员灵活应对需求变更，及时更新测试计划和测试用例。缺乏专业知识和技能：软件测试作为一项专业技术活动，需要测试人员掌握丰富的测试理论和实践经验，并具备较强的分析、判断、沟通和协调能力。但事实上，许多测试人员缺乏相关的专业知识和技能，无法有效地完成测试任务。自动化测试难度：自动化测试是提高软件测试效率和质量的重要手段。但自动化测试需要测试人员具备编程、脚本编写等技能，且自动化测试的设计和开发过程也较为复杂，因此对测试人员的能力要求较高

“杀虫剂怪事”一词由BorisBeizer在其编著的《软件测试技术》第二版中提出。用于描述测试人员对同一测试对象进行的测试次数越多，发现的缺陷就会越来越少的现象。就像老用一种农药，害虫就会有免疫力，农药发挥不了效力。这种现象的根本原因就是测试人员对测试软件过于熟悉，形成思维定势。
为了克服这种现象，测试人员需要不断编写新的测试程序或者测试用例，对程序的不同部分进行测试，以发现更多的缺陷。也可以引用新人来测试软件，刚刚进来的新手往往能发现一些意想不到的问题。
48、在配置测试中，如何判断发现的缺陷是普通问题还是特定的配置问题？
参考答案：
在进行配置测试时，测试工程师仍然会发现一些普通的缺陷，也就是与配置环境无关的缺陷。因此判断新发现的问题，需要在不同的配置中重新执行发现软件缺陷的步骤，如果软件缺陷不出现了，就可能是配置缺陷；如果在所有的配置中都出现，就可能是普通缺陷。
需要注意的是，配置问题可以在一大类配置中出现。例如，拨号程序可能在所有的外置Modem中都存在问题，而内置的Modem不会有任何问题。

软件测试初学者可能认为拿到软件后需要进行完全测试，找到全部的软件缺陷，使软件“零缺陷”发布。实际上完全测试是不可能的。主要有以下一个原因：
-完全测试比较耗时，时间上不允许；
-完全测试通常意味着较多资源投入，这在现实中往往是行不通的；
-输入量太大，不能一一进行测试；
-输出结果太多，只能分类进行验证；
-软件实现途径太多；
-软件产品说明书没有客观标准，从不同的角度看，软件缺陷的标准不同；
因此测试的程度要根据实际情况确定。

需要的知识：
• 软件测试基础理论知识，如黑盒测试、白盒测试等；
• 编程语言基础，如C/C++、java、python等；
• 自动化测试工具，如Selenium、Appium、Robotium等；
• 计算机基础知识，如数据库、Linux、计算机网络等；
• 测试框架，如JUnit等。

需要具备的能力：
• 业务分析能力，分析整体业务流程、分析被测业务数据、分析被测系统架构、分析被测业务模块、分析测试所需资源、分析测试完成目标；
• 缺陷洞察能力，一般缺陷的发现能力、隐性问题的发现能力、发现连带问题的能力、发现问题隐患的能力、尽早发现问题的能力、发现问题根源的能力；
• 团队协作能力，合理进行人员分工、协助组员解决问题、配合完成测试任务、配合开发重现缺陷、督促项目整体进度、出现问题勇于承担；
• 专业技术能力，掌握测试基础知识、掌握计算机知识、熟练运用测试工具；
• 逻辑思考能力，判断逻辑的正确性、对可行性逻辑分析、站在客观角度思考；
• 问题解决能力，技术上的问题、工作中的问题、沟通问题；
• 沟通表达能力，和技术人员、产品人员、上下级的沟通；
• 宏观把控能力，有效控制测试时间、有效控制测试成本、有效制定测试计划、有效进行风险评估、有效控制测试方向。

(1)写个函数或者方法，把要加密的参数使用这个函数过滤一遍，等于就是说把数据丢进去，加密了之后，再通过这个加密好的数据传输过去就可以。
(2)至于用什么加密算法，这个要根据产品和自己的业务场景和需求不管是AES或者公钥私钥也好看自己的选择。
(3)也可能是编码的问题，就直接用base64码把需要传输加密的东西通过base64返回base64码，然后再放进去，然后再进行传输。
(4)这是编码不是加密，真的要加密的话，首先把要用的参数加好密之后再被传输出去，传输的过程中把传输的数据进行一次加密和封装之后再发送过去。
(5)用jmeter做接口测试用post-processor加beanshell进行加密解密，再从日志中查找参数，然后具体的加密算法要看需求。
(6)每个测试工具提供的加密算法是不一样的，工具不一样加密算法也是不一样的。

1. 网络钓鱼
这种类型的在线欺诈旨在窃取敏感信息，例如信用卡号及访问密码。 网络钓鱼攻击冒充信誉良好的银行机构、网站和个人联系人，其形式是即时网络钓鱼电子邮件或旨在看起来合法的消息。
单击 URL 或回复消息后，系统会提示您输入财务详细信息或使用您的凭据，然后将您的数据发送到恶意来源。

2. 电脑病毒
这些是旨在从一台计算机设备传播到另一台计算机设备的软件。 大多数情况下，它们是从特定网站下载或作为电子邮件附件发送的，目的是通过网络上的系统感染您的计算机以及您联系人列表中的其他计算机。 他们可以禁用您的安全设置、发送垃圾邮件、从您的计算机中窃取和损坏数据，甚至删除您硬盘上的所有内容。

3. 恶意软件/勒索软件
恶意软件是一种恶意软件，主要被犯罪分子用来控制您的系统、窃取您的机密数据或在您不知情的情况下在您的设备中安装破坏性程序。 它通过弹出广告、受感染的文件、虚假网站或电子邮件传播间谍软件、木马和蠕虫。

另一方面， 勒索 软件是一种恶意软件，网络犯罪分子通过恶意应用程序或网络钓鱼电子邮件锁定您的设备，然后请求赎金以解锁设备。它可能会妨碍您运行应用程序、加密文件，甚至无法完全使用您的设备。

4. 流氓安全软件

这是一种恶意软件，通过让用户相信他们的安全措施不是最新的或他们的计算机有病毒来欺骗用户。 然后，他们提供帮助您安装或更新用户的安全设置，方法是要求您支付工具费用或下载他们的程序以帮助消除所谓的病毒。 这可能会导致在您的设备中安装实际的恶意软件。

5. 拒绝服务攻击
拒绝服务试图阻止合法用户从网站访问服务或信息。 当恶意攻击者使网站的流量超载时，就会发生这种情况。 它由一台计算机及其互联网连接执行，这可能使入侵者能够访问您的凭据。 分布式拒绝服务与拒绝服务类似，但更难克服。 这是因为它是从分布在全球各地的不同计算机启动的。 这些受感染计算机的网络称为僵尸网络。

如何防止网络安全威胁
永远不要向任何人支付赎金，始终识别任何异常的交通活动，减少对陌生网站的访问，使用身份验证和强密码，谨慎使用 公共 Wi-Fi，让您的防病毒软件保持最新状态。

什么是安全测试？
安全测试就是要提供证据表明，在面对敌意和恶意输入的时候，应用仍然能够充分的满足它的需求。
a.如何提供证据？我们通过一组失败的安全测试用例执行结果来证明web应用不满足安全需求。
b.如何看待安全测试的需求？与功能测试相比，安全测试更加依赖于需求，因为它有更多可能的输入和输出可供筛选。
真正的软件安全其实际上指的是风险管理，即我们确保软件的安全程度满足业务需要即可。
如何开展安全测试？
基于常见攻击和漏洞并结合实际添加安全测试用例，就是如何将安全测试变为日常功能测试中简单和普通的一部分的方法。
选择具有安全意义的特殊边界值，以及具有安全意义的特殊等价类，并将这些融入到我们的测试规划和测试策略过程中。
但是若在功能测试基础上进行安全测试，则需要增加大量测试用例。这意味着必须做两件事来使其便于管理：缩小关注的重点和测试自动化。
Web安全测试通常要考虑的测试点？
1、问题：没有被验证的输入
测试方法：
数据类型（字符串，整型，实数，等）
允许的字符集
最小和最大的长度
是否允许空输入
参数是否是必须的
重复是否允许
数值范围
特定的值（枚举型）
特定的模式（正则表达式）
2、问题：有问题的访问控制
测试方法：
主要用于需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址
例：从一个页面链到另一个页面的间隙可以看到URL地址，直接输入该地址，可以看到自己没有权限的页面信息
3、错误的认证和会话管理
例：对Grid、Label、Tree view类的输入框未作验证，输入的内容会按照html语法解析出来
4、缓冲区溢出
没有加密关键数据
例：view－source：http地址可以查看源代码，在页面输入密码，页面显示的是 *****, 右键，查看源文件就可以看见刚才输入的密码
5、拒绝服务
分析：攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序，最终使程序陷入瘫痪，需要做负载均衡来对付
6、不安全的配置管理
分析：Config中的链接字符串以及用户信息，邮件，数据存储信息都需要加以保护。
程序员应该做的：配置所有的安全机制，关掉所有不使用的服务，设置角色权限帐号，使用日志和警报
分析：用户使用缓冲区溢出来破坏web应用程序的栈，通过发送特别编写的代码到web程序中，攻击者可以让web应用程序来执行任意代码
7、注入式漏洞
例：一个验证用户登陆的页面，
如果使用的sql语句为：
Select * from table A where username＝’’ + username+’’ and pass word …..
Sql 输入 ‘ or 1＝1 ―― 就可以不输入任何password进行攻击
8、不恰当的异常处理
分析：程序在抛出异常的时候给出了比较详细的内部错误信息，暴露了不应该显示的执行细节，网站存在潜在漏洞
9、不安全的存储
分析：帐号列表，系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号。
浏览器缓存：认证和会话数据不应该作为GET的一部分来发送，应该使用POST
10、问题：跨站脚本（XSS）
分析：攻击者使用跨站脚本来发送恶意代码给没有发觉的用户，窃取他机器上的任意资料
测试方法：
HTML标签：<…>…
转义字符：&(&)；<(<)；>(>)； (空格) ；
脚本语言：

…Alert(‘’)

特殊字符：‘ ’ < > /
最小和最大的长度
是否允许空输入

验收测试是软件产品检验的最后一个环节。按照项目任务书或合同、供需双方约定的验收依据文档进行的对整个系统的测试与评审，决定是否接收或拒收系统。验收测试的常用方法有三种，分别是：正式验收非正式验收或 Alpha 测试Beta 测试在进行主要测试程序之前，常用冒烟测试作为一个此阶段的验收测试。冒烟测试是指在对一个新版本进行系统大规模的测试之前，先验证一下软件的基本功能是否实现，是否具备可测性。所以也叫可测性测试。