所有企業(yè)都希望（或應(yīng)該）減少與軟件開(kāi)發(fā)相關(guān)的風(fēng)險(xiǎn)。但是對(duì)于為安全至關(guān)緊要的行業(yè)和金融行業(yè)服務(wù)的企業(yè)，需要盡可能消除風(fēng)險(xiǎn)，并在所有其他情況下將風(fēng)險(xiǎn)降至最低。

左移測(cè)試可以降低以下關(guān)鍵領(lǐng)域的風(fēng)險(xiǎn)，下面將詳細(xì)說(shuō)明：

• 安全
• 可見(jiàn)性
• 法規(guī)和OEM合規(guī)性
• 可靠性
• 應(yīng)用變更
• 外包開(kāi)發(fā)

什么是“左移”？

向“左移”的方向是將關(guān)鍵的測(cè)試實(shí)踐移至開(kāi)發(fā)生命周期的早期。這個(gè)術(shù)語(yǔ)尤其在敏捷、持續(xù)和DevOps計(jì)劃中找到。那么，為什么需要執(zhí)行早期軟件測(cè)試？

許多測(cè)試活動(dòng)發(fā)生在周期的后期，需要花費(fèi)更長(zhǎng)的時(shí)間才能找出問(wèn)題所在，并且需要更多的修復(fù)成本。左移是關(guān)于將缺陷的識(shí)別和預(yù)防移到較早。如果您不這樣做，并在開(kāi)發(fā)周期的稍后階段等待執(zhí)行測(cè)試實(shí)踐，則特別是非功能性業(yè)務(wù)需求（即安全性和性能測(cè)試）在代碼中已根深蒂固，以至于您只能打補(bǔ)丁而不是正確地修復(fù)它們。那么，將測(cè)試“移至左側(cè)”如何對(duì)軟件的關(guān)鍵領(lǐng)域有所幫助？

安全

受損的應(yīng)用程序安全性會(huì)導(dǎo)致信息泄漏、停機(jī)、污損和惡意軟件安裝。根據(jù)Web Hacking事件數(shù)據(jù)庫(kù)，這些后果占安全相關(guān)結(jié)果的61.6％。

傳統(tǒng)的安全性方法是通過(guò)猜測(cè)和經(jīng)驗(yàn)的結(jié)合來(lái)模擬直接攻擊。傳統(tǒng)方法由于過(guò)分依賴(lài)運(yùn)氣而無(wú)效且過(guò)時(shí)。使用左移測(cè)試，可以在開(kāi)發(fā)時(shí)避免這些安全風(fēng)險(xiǎn)。

可見(jiàn)性

組織面臨的最大風(fēng)險(xiǎn)之一是缺乏決策依據(jù)。開(kāi)發(fā)進(jìn)度是否能按時(shí)完成？產(chǎn)品符合要求嗎？現(xiàn)在是否需要采取任何措施來(lái)利用機(jī)會(huì)或減輕即將來(lái)臨的客戶問(wèn)題的影響？

Parasoft的左移測(cè)試平臺(tái)通過(guò)將來(lái)自每個(gè)軟件開(kāi)發(fā)基礎(chǔ)架構(gòu)的數(shù)據(jù)捆綁在一起，并根據(jù)已定義的公司策略應(yīng)用上下文智能，從而為組織提供了前所未有的、無(wú)與倫比的、完整的可見(jiàn)性，從而推動(dòng)了自動(dòng)化的預(yù)防和控制流程。提供最高管理級(jí)別所需的商業(yè)智能。

法規(guī)和OEM合規(guī)性

不遵守安全關(guān)鍵性法規(guī)，政府或OEM法規(guī)可能導(dǎo)致召回，使合同無(wú)效，制定處罰或采取法律行動(dòng)。盡管總金額因行業(yè)和項(xiàng)目而異，但它們通常是可觀的。通過(guò)靜態(tài)分析，覆蓋率分析，過(guò)程定義和常規(guī)測(cè)量的組合，左移測(cè)試方法將合規(guī)性系統(tǒng)化為一個(gè)自動(dòng)化的，氣密性的過(guò)程，以確保控制風(fēng)險(xiǎn)。

可靠性

軟件可靠性仍然是最顯而易見(jiàn)的問(wèn)題之一，可以通過(guò)左移測(cè)試輕松解決。崩潰，停機(jī)時(shí)間和缺少SLA的癥狀會(huì)嚴(yán)重影響公司在市場(chǎng)中的地位。通過(guò)將預(yù)防，檢測(cè)和驗(yàn)證結(jié)合到一個(gè)持續(xù)改進(jìn)的過(guò)程中，左移測(cè)試將確保減少或消除可靠性風(fēng)險(xiǎn)。

應(yīng)用變更

在開(kāi)發(fā)人員中，有一個(gè)古老的笑話：“如果調(diào)試是消除bug的過(guò)程，那么開(kāi)發(fā)必須是將它們放入其中的過(guò)程。”用業(yè)務(wù)術(shù)語(yǔ)來(lái)說(shuō)，每次代碼更改都是一種風(fēng)險(xiǎn)。

左移測(cè)試通過(guò)執(zhí)行可防止開(kāi)發(fā)人員工作時(shí)出現(xiàn)結(jié)構(gòu)和設(shè)計(jì)問(wèn)題的編碼策略，消除了引入新缺陷的風(fēng)險(xiǎn)。此外，左移測(cè)試策略將允許自動(dòng)生成，執(zhí)行和管理回歸測(cè)試以及詳細(xì)的覆蓋率分析，從而消除損害現(xiàn)有功能的風(fēng)險(xiǎn)。自動(dòng)化的同行評(píng)審分配可提供降低風(fēng)險(xiǎn)的最后一層，以確保適當(dāng)?shù)膱F(tuán)隊(duì)專(zhuān)家可以檢查100％的代碼。

外包開(kāi)發(fā)

隨著企業(yè)從高科技領(lǐng)域中廉價(jià)，缺乏經(jīng)驗(yàn)的勞動(dòng)力的風(fēng)險(xiǎn)中吸取教訓(xùn)，外包正逐漸消失。但是，許多企業(yè)擁有活躍的離岸開(kāi)發(fā)和測(cè)試團(tuán)隊(duì)，并將繼續(xù)沿這一道路前進(jìn)。盡管策略各不相同，但成功的外包商會(huì)在現(xiàn)場(chǎng)和非現(xiàn)場(chǎng)建立多個(gè)緩解風(fēng)險(xiǎn)的門(mén)，以防范風(fēng)險(xiǎn)注入。左移測(cè)試很自然地適合在每個(gè)緩解風(fēng)險(xiǎn)的門(mén)口建立和實(shí)施編碼標(biāo)準(zhǔn)，單元測(cè)試覆蓋率以及同行評(píng)審的政策。

那你怎么左移呢？

為簡(jiǎn)潔起見(jiàn)，左移測(cè)試方法分為兩個(gè)主要活動(dòng)：

應(yīng)用開(kāi)發(fā)測(cè)試最佳實(shí)踐

進(jìn)行早期階段的開(kāi)發(fā)實(shí)踐，例如靜態(tài)代碼分析和單元測(cè)試，有助于在過(guò)程中盡早發(fā)現(xiàn)并防止缺陷。

重要的是要記住，目標(biāo)不是發(fā)現(xiàn)錯(cuò)誤，而是減少錯(cuò)誤的數(shù)量（尤其是那些會(huì)發(fā)布到版本中的錯(cuò)誤）。最終，與發(fā)現(xiàn)更多的bug相比，首先創(chuàng)建更少的bug有價(jià)值得多，而且價(jià)格便宜得多。因此，通過(guò)標(biāo)記可能“有效”但仍不安全的代碼，采用一種主動(dòng)預(yù)防性的安全關(guān)鍵編碼標(biāo)準(zhǔn)。

編碼標(biāo)準(zhǔn)是等同于工程標(biāo)準(zhǔn)的軟件，它們是減少錯(cuò)誤數(shù)量（除了更早發(fā)現(xiàn)錯(cuò)誤），支持并從左移計(jì)劃中獲得最大價(jià)值的關(guān)鍵。編碼標(biāo)準(zhǔn)是軟件工程知識(shí)的體現(xiàn)，可以幫助您避免錯(cuò)誤/危險(xiǎn)/不安全的代碼。要使用它們，您需要應(yīng)用靜態(tài)代碼分析。

為了軟件安全，這對(duì)于成功強(qiáng)化軟件尤為重要。您想在代碼中構(gòu)建安全性，而不是對(duì)其進(jìn)行測(cè)試。編碼標(biāo)準(zhǔn)可讓您從一開(kāi)始就構(gòu)建更安全的應(yīng)用程序（即通過(guò)設(shè)計(jì)確保安全性），這是一個(gè)好主意，并且如果您受制于諸如以下法規(guī)之類(lèi)的要求GDPR。

利用服務(wù)虛擬化實(shí)現(xiàn)連續(xù)測(cè)試

接下來(lái)，您必須接受在開(kāi)發(fā)過(guò)程的所有階段（包括后期）創(chuàng)建的測(cè)試，并不斷進(jìn)行下去。對(duì)于采用敏捷開(kāi)發(fā)實(shí)踐以在整個(gè)開(kāi)發(fā)過(guò)程中提供連續(xù)反饋的團(tuán)隊(duì)來(lái)說(shuō)，這一點(diǎn)至關(guān)重要。單元測(cè)試可以輕松地連續(xù)執(zhí)行，但是由于外部系統(tǒng)的依賴(lài)性，通常很難將后期功能測(cè)試的執(zhí)行轉(zhuǎn)移到左手，在這里您可以利用服務(wù)虛擬化來(lái)進(jìn)行連續(xù)測(cè)試。

服務(wù)虛擬化使您可以模擬可用性可能受限的相關(guān)系統(tǒng)，例如大型機(jī)，訪問(wèn)費(fèi)，第三方服務(wù)或可能尚未準(zhǔn)備就緒的系統(tǒng)。通過(guò)模擬它們，您可以在沒(méi)有整個(gè)系統(tǒng)可用的情況下執(zhí)行功能測(cè)試，并且可以將測(cè)試執(zhí)行完全轉(zhuǎn)移到開(kāi)發(fā)桌面。

在性能測(cè)試方面，服務(wù)虛擬化使您可以在一切準(zhǔn)備就緒之前進(jìn)行測(cè)試，而無(wú)需對(duì)系統(tǒng)中的所有內(nèi)容進(jìn)行完整的實(shí)驗(yàn)。您甚至可以運(yùn)行各種假設(shè)分析場(chǎng)景，例如，如果應(yīng)用服務(wù)器運(yùn)行速度快而數(shù)據(jù)庫(kù)運(yùn)行緩慢（在現(xiàn)實(shí)世界中很難實(shí)現(xiàn)），該怎么辦。或者，如果我的服務(wù)器開(kāi)始拋出一些有趣的錯(cuò)誤，例如500錯(cuò)誤，那將如何影響系統(tǒng)性能呢？

您可以隨心所欲地推動(dòng)系統(tǒng)運(yùn)行，并盡早實(shí)施。（了解有關(guān)如何左移性能測(cè)試的更多信息）

同樣，您可以更早地開(kāi)始進(jìn)行安全測(cè)試。與物理系統(tǒng)解耦使您可以做一些更有趣的事情，這就是使模擬系統(tǒng)以邪惡的方式運(yùn)行。現(xiàn)在，您可以真正進(jìn)行安全測(cè)試了……您不僅可以在系統(tǒng)上查看受污染的數(shù)據(jù)和DDoS，還可以使系統(tǒng)充滿數(shù)據(jù)包，發(fā)送格式錯(cuò)誤的數(shù)據(jù)或攻擊者常用的許多其他利用方法。因此，不僅可以進(jìn)行更早的測(cè)試（左），而且還可以比測(cè)試實(shí)驗(yàn)室或生產(chǎn)系統(tǒng)進(jìn)行更深入的測(cè)試。