首页 > 其他分享 >聊一聊风险的分析及缓解

聊一聊风险的分析及缓解

时间:2024-09-14 12:25:57浏览次数:8  
标签:风险 开发人员 特性 聊一聊 测试 缓解 我们

目录

一、风险分析

二、按照风险发现的频率划分

三、项目相关干系人对风险的评估

开发人员:

项目经理:

销售人员:

总监和 VP:

四、风险的化解


一、风险分析

在软件测试中,我们按照一个常识性的过程来理解风险。

哪些事件需要担心?

这些事件发生的可能性有多大?

一旦发生,对公司产生多大影响?

一旦发生,对客户产生多大影响?

产品具备什么缓解措施?

这些缓解措施有多大可能会失败?

处理这些失败的成本有哪些?

恢复过程有多困难?

事件是一次性问题,还是会再次发生?

影响风险的因素很多,试图精确地、定量地计算风险比缓解风险还要麻烦。在大厂,我们确定了两个要素:失败频率影响。测试人员用这两个要素给每项能力打分。我们发现,风险实际上是一个定性的相对值,而非一个定量的绝对值。风险分析的目标不是要给出一个精确的值,而是要识别一个能力与另一个相比风险是大是小,这对于决定以何种顺序测试哪些能力足够了。

二、按照风险发现的频率划分

罕见:发生故障的可能性很小,发生问题后的恢复也很容易。

少见:在少数情况下会发生故障,但是在使用场景复杂度不高的情况下或使用率较低的情况下,发生的可能性非常小。

偶尔:故障的情形容易想象、场景有点复杂,而该能力是比较常用的。

常见:此能力所属的特性使用量大、复杂度高、问题频发。

三、项目相关干系人对风险的评估

开发人员:

大多数开发人员在被征求意见的时候,都会给自己负责的特性选择最大的风险,因为他们希望自己写的代码得到充分的测试。经验表明,开发人员对自己负责的特性的风险估计过高。

项目经理:

PM也是常人,也会有自己的偏见。在对能力点重要性的评判上,他们当然有自己的偏好。通常来说,他们喜欢那些使得软件能从竞争产品中脱颖而出引人注目的特性。

销售人员:

销售岗位本来就是要吸引用户的,因此他们会对那些有卖点、演示起来很拉风的特性更感兴趣。

总监和 VP:

管理层经常会更加注意那些使软件有别于主要竞争对手产品的特性。

显然,所有利益相关人员都有明显的偏好,因此我们的办法就是征求所有人的意见,请大家各自给前面所述的失败频率影响指标打分。并不总是轻而易举地就能吸引大家的参与,不过我们发现了一个成功的策略。我们并不需要跟他们解释这个流程然后说服他们来帮忙,只要自己完成然后把热图展示给他们就行了。一旦他们发现其中的偏差,自然就会提出自己的意见。开发人员知道这个热图会被用来决定测试的优先级,因此参与度很高,项目经理和销售人员也是一样,质量对大家都很重要。

这个方法很给力,我们自己确定风险所得到的结论,毫无疑问会被质疑。在将风险分析结果作为随后测试的依据展示给大家的时候,我们实际上是树了一个靶子供大家争论。这就是重点:与其询问他们关于某个模糊概念的看法,不如拿一个明确的结论来引起辩论。通常来说,都是排除容易下定义难。除此之外,我们还会避免让每一个人都去查看他们其实不感兴趣或不理解的数据。这个小策略使得我们通常能得到大量有效的输入纳入风险计算。

四、风险的化解

风险不大可能彻底消除。驾驶有风险,但我们仍然会开车出行;旅游有风险,但我们并没有停止旅游。通常情况下,风险并没有真的变成伤害。为什么呢?因为我们会以实际行动缓解风险。例如,我们会避免在一天的某个时间驾车出行,避免到一些地方旅行,这就是缓解。

就软件而言,一种极端的缓解办法是去掉风险最大的组件:交付的软件越少,风险越小。但是,除了彻底的风险消除,还有很多措施可以缓解风险:

我们可以围绕风险大的能力点编写用户故事,并从中确定低风险的使用场景,然后反馈到开发团队,请他们有针对性地增加约束。

我们可以编写回归测试用例,以确保问题在重现时可以被捕捉到。

我们可以编写和运行引发故障的测试用例,来推动开发实现恢复和回滚的特性。

我们可以插入监听代码,以便更早地检测到故障。

我们可以插入代码监听软件,发现新旧版本间的行为变化以发现回归问题。

具体的缓解措施很大程度上取决于应用本身以及用户对于安全性的期望。测试人员可能会参与到实际的缓解过程,但更主要的工作是暴露风险。那些标记为红色的能力点比黄色和绿色要优先处理,按照风险顺序进行测试。原则是:如果不能全测,就先测最重要的,也就是风险最大的。

对于风险较低的能力点,可以降低些要求。我们可能会做出判断:为较低风险的领域编写特定的测试用例是得不偿失的。我们可能会选择进行探索式测试,或者使用众包去测试这些领域。

标签:风险,开发人员,特性,聊一聊,测试,缓解,我们
From: https://blog.csdn.net/qd_lifeng/article/details/142207810

相关文章

  • 【安全运营】揭秘100个网络风险解决秘籍,让你安全畅游网络世界,不再怕风险!
    01账号密码安全(14条)如果有初始密码,应尽快修改;密码长度不少于8个字符;不要使用单一的字符类型,例如只用小写字母或只用数字;用户名与密码不要使用相同字符;常见的弱口令尽量避免设置为密码;自己、家人、朋友、亲戚、宠物的名字避免设置为密码;生日、结婚纪念日、电话号码等个人信......
  • steam开风灵月影会不会封号?Steam玩家必看:风灵月影修改器使用与封号风险解析
    在Steam平台上使用风灵月影这类游戏修改器,其封号风险主要取决于玩家的具体使用方式和游戏类型。以下是对此问题的详细解析:一、风灵月影修改器的基本概述风灵月影修改器主要提供单机游戏的修改功能,通过修改游戏数据来增强玩家的游戏体验。这些修改器通常不会对Steam平台本身造......
  • 关于排查GPTbot爬虫风险说明
    背景OpenAI在没有正式宣布的情况下,于本周发布了一项网站爬虫规范GPTbot。一旦被大模型爬虫爬取,也意味着你的数据无法从公共数据集中删除。例如比较有名的公共数据集CommonCrawl(翻译成中文是“常见爬取”或“通用爬虫”),常被用于训练OpenAI的ChatGPT。风险排查针对网络......
  • Wordpress 知名插件漏洞致百万网站面临接管风险
        流行的 WordPressLiteSpeedCache 插件中存在一个漏洞,可能允许攻击者检索用户cookie并可能接管网站。    该问题被跟踪为CVE-2024-44000,之所以存在,是因为该插件在用户登录请求后会在调试日志文件中包含set-cookie的HTTP响应标头。    ......
  • 一分钟了解网络安全风险评估!
    网络安全风险评估是一种系统性的分析过程,旨在识别和评估网络系统中的潜在安全风险。这个过程包括识别网络资产、分析可能的威胁和脆弱性、评估风险的可能性和影响,以及提出缓解措施。网络安全风险评估有助于组织了解其网络安全状况,制定相应的安全策略和应急计划,以减少安全事件发......
  • 缓解父母焦虑!详细实测!这些免费AI可以成为孩子提高学习能力的得力助手!
    近日,新版三年级英语教材冲上了热搜。家长纷纷表示,新版教材连26个英文字母都不教了,直接进入单词和文章教学。”娃都零基础,开学怎么跟得上?““这不是卷孩子,这是卷家长啊!”不仅是英语,语数外政史地物化生...都已经内卷成另外一个高度!网友纷纷感谢自己的妈妈,让自己没有吃到时代的“黑”......
  • 企业仍愿意投资生成式AI,风险管理是首要任务
    对于那些决定迈步前行并投资于生成式人工智能(GenAI)的组织来说,这是跳进来的机会,否则可能会被竞争对手超越,尽管存在潜在的风险。根据Salesforce发布的一项研究,在新加坡,87%的高管们仍然把AI技术视为三大业务优先事项之一。该调查由YouGov于2024年7月进行,对至少拥有250名员工的组......
  • 关于降低存量房贷利率对风险资产价格的影响
    内容提要分析认为,真正需要关注的是边际存量贷款利率。只要边际房贷利率水平足够低,早偿的问题得到解决,整个系统的无风险利率水平会大幅降低。此外,降低该利率会给理财资金池带来增量资金。市场对降低存量房贷利率的讨论很多一方面,大家觉得有必要降低,新增房贷和存量房贷的息差......
  • 你知道手机号也有风险画像吗?
        我们每个人或许拥有不止一个手机号,它们连接着我们的社交媒体,支付账号以及购物出行息息相关的方方面面。而且有这么一群人利用手机号操作进行着刀尖上舔血的半违法或违法活动。例如垃圾注册,短信轰炸,黄牛,薅羊毛等行为。于是手机号风险画像应运而生。也许我们都听过IP风险......
  • 3293. 风险人群筛查 来源:第二十次CCF-CSP计算机软件能力认证 模拟枚举
    #include<iostream>#include<cstring>#include<algorithm>#definexfirst#defineysecondusingnamespacestd;intn,k,t,x1,y1,x2,y2;intmain(){cin>>n>>k>>t>>x1>>y1>>x2......