Hola Habr! Publicamos una selección de excelentes informes sobre las pruebas y todo lo que lo rodea. Las
calificaciones de los visitantes
de Heisenbug 2019 Piter determinaron los mejores informes de esta conferencia, de los cuales aprenderá, por ejemplo:
- ¿Puede un probador cambiar a toda la compañía;
- Qué sucede con las pruebas cuando una startup se transfiere al estado de una gran corporación;
- Cómo integrar sistemas de pago para no arruinar la empresa;
- Por qué y cómo verificar a quienes lo verifican;
- Cómo encontrar agujeros en un proyecto que los hackers puedan aprovechar;
- Lo que es común entre las pruebas y el análisis de datos.
También preparamos una lista de reproducción con las mejores grabaciones de videos de informes. Vamos!
Muévete rápido y no rompas cosas
Ponente:
Yuri DymovUbicación: 10
Presentación del informeEn las primeras etapas, las nuevas empresas del Valle siguen los principios de moverse rápido y romper cosas (si nada se rompe, significa que no se está desarrollando lo suficientemente rápido). Pero si la startup ha crecido, ahora hay cientos de desarrolladores, y el costo del error es de millones, la compañía comienza a prestar atención a la calidad mucho más tiempo.
Por ejemplo, la falla global de los sistemas Uber durante dos horas le costó a la compañía varias decenas de millones de dólares, después de lo cual la compañía reconstruyó por completo el proceso de desarrollo y prueba en todos los niveles: el backend se copió a microservicios y las aplicaciones móviles se reescribieron desde cero. El informe de Yuri trata sobre cómo Uber está probando nuevas aplicaciones móviles basadas en la arquitectura de Presidio y cómo automatizar las pruebas en iOS.
Pandora: pruebas de estrés como código
Ponente:
Alexey LavrenyukUbicación: 9
Presentación del informeEn el pasado, Heisenbug Alexey representaba los proyectos Yandex.Tank y Yandex.Volta, y ahora regresó con un informe sobre Pandora: "un arma para Yandex.Tank". Este es un generador de carga de código abierto escrito en Go: puede "disparar" desde cañones prefabricados o construir sus propias herramientas de secuencias de comandos.
En su informe, Alexey le dirá cómo funciona Pandora, cómo escribir un script justo antes de disparar, configurarlo para un servicio específico, ejecutarlo y, después de automatizar las pruebas de carga, recopilar monitoreo y recibir hermosos informes.
Probar servicios pagos: cómo dejar de iniciar el avión para verificar la luz en el tablero
Ponente:
Vladimir Solodov, Victor KoronevichUbicación: 8
Presentación del informeDoble informe sobre un tema importante para muchos sistemas de pago. Victor y Vladimir hablarán sobre cómo integrar correctamente los agregadores de pagos, qué dificultades puede encontrar fácilmente y cómo evitarlas. De hecho, el informe puede considerarse como una instrucción con diagramas, problemas, soluciones y conclusiones sobre cada tema.
También usan la App Store como un ejemplo para abordar el problema de las cajas de arena inestables y cómo resolverlo de tal manera que no tengan tiempo de quebrar durante las pruebas.
Acelerando Apache JMeter
Ponente:
Vyacheslav SmirnovUbicación: 7
Presentación del informeApache JMeter tiene un problema que no siempre se resuelve: la velocidad de los scripts de carga, que pueden afectar seriamente un proyecto donde se necesita una carga alta.
El informe de Vyacheslav, que ha experimentado el dolor de optimizar las pruebas, está dedicado a los enfoques para la escritura óptima de scripts, que permiten guardar en máquinas de carga y echar un vistazo a la optimización del código. Según uno de los oyentes, la conferencia está literalmente saturada de sangre, luego con litros de café bebidos por la noche y ayudará a evitar el campo de minas del rastrillo en las pruebas de estrés.
Reconocimiento y recopilación de alcances antes de las pruebas de penetración
Ponente:
Igor LyrchikovUbicación: 6
Presentación del informeUna de las características de este Heisenbug fue una gran cantidad de informes de seguridad: dos entraron en la parte superior. El primero ayuda a tener una idea de reconocimiento ("inteligencia"): el primer paso que toman los hackers o pentesters para cometer un ataque de hackers contra un producto o empresa.
Igor habla en detalle sobre cómo recopilar la máxima información sobre la infraestructura para identificar puntos de ataque que son vulnerables a los piratas informáticos y realizar pruebas de seguridad, cómo automatizar estas acciones en cualquier lenguaje de programación y soluciones listas para usar. ¡Mira el informe y prueba tus productos!
Para muchos, la historia fue recordada por la entrada en el espíritu de los thrillers de espionaje: "los clientes nos contratan para tratar de hackear su sistema de muchas maneras, incluso penetrando en el edificio bajo la apariencia de limpiadores de piscinas".
Prueba de prueba
Ponente:
Nikita SobolevUbicación: 5
Presentación del informeLa frase latina alada "Quis custodiet ipsos custodes?", Que significa "¿Quién vigilará a los vigilantes?", Es especialmente relevante en las pruebas. Y en este informe, ¡una charla práctica sobre cómo verificar a quienes evalúan las pruebas! El problema es tan antiguo como el mundo: el código se está desarrollando, se escriben pruebas geniales para él, pero de todos modos, todo cae en la producción. Nikita sugiere usar pruebas de mutación.
En un informe que ha cautivado a muchos oyentes, explica la base teórica y pone todo en orden: cómo y por qué probar las pruebas, muestra qué herramientas están disponibles, usando Python como ejemplo, habla honestamente sobre los problemas de su implementación.
Pruebas web modernas y automatización con titiriteros
Ponente:
Andrey LushnikovUbicación: 4
Presentación del informeHeisenbug clásico: una historia sobre una herramienta popular para los evaluadores de quién es responsable de esta herramienta. Andrey toma la primera línea en la
lista de colaboradores Puppeteer, y cree que esta herramienta es el futuro de las pruebas web y la automatización.
Explica los principios de la biblioteca, explica por qué es tan rápido, demuestra en la batalla y muestra el último prototipo de Puppeteer para Firefox. Un buen informe para aquellos que desean obtener más información sobre una de las API populares y útiles para la automatización de pruebas.
Buscar efectivamente vulnerabilidades XSS
Ponente:
Ivan RumakUbicación: 3
Presentación del informeEl segundo informe de seguridad en la parte superior trata sobre Cross-Site Scripting, que todavía se incluye de manera consistente en los 10 ataques más peligrosos en aplicaciones web. Por lo tanto, una historia de un experto es interesante y útil.
En su informe, Ivan habla sobre la esencia de la vulnerabilidad y comparte su técnica de búsqueda, con la ayuda de la cual encontró 54 errores XSS en los programas de búsqueda de vulnerabilidad solo en el último año, algunos de los cuales fueron de Mail.ru, Yandex y QIWI.
El informe es igualmente adecuado tanto para principiantes como para quienes están en el tema: siempre es útil aprender sobre las partes potencialmente vulnerables de las aplicaciones web y aprender cómo buscar jambas en XSS utilizando la carga útil universal.
Cambiar la cultura de prueba de su organización
Ponente:
Jim HolmesLugar: 2
Presentación del informeLas herramientas y técnicas se pueden estudiar tanto como desee, pero si una gran empresa tiene problemas con la cultura de las pruebas, nada ayudará. ¿Qué hacer entonces? ¿Puede un probador regular que no dirige la compañía afectar el problema? Jim Holmes responde a esta pregunta global en su discurso de apertura, cuyo eslogan puede ser "un pequeño paso para el evaluador y un gran salto para toda la empresa".
Jim habla sobre qué tipo de problemas son típicos para las grandes empresas en general, cómo vivir con ellos y cómo lidiar con ejemplos simples de empresas en las que trabajó durante su larga carrera. Aprenderá acerca de los enfoques prácticos que ayudarán a cambiar la cultura de prueba en una empresa, independientemente de su tamaño, aprenderá a explicar sus ideas, comprenderá cómo influir en sus objetivos comerciales y verá con qué frecuencia y de manera devastadora los líderes equivocados pueden cometer errores.
Y como beneficio adicional al informe, puede leer nuestra excelente
entrevista con Jim sobre la cultura de las pruebas.
Quis custodiet ipsos custodes? Lo que es común entre las pruebas y el análisis de datos.
Ponente:
Ivan YamshchikovUbicación: 1
Ya mencionamos la frase "Quis custodiet ipsos custodes?" - Y aquí está justo en el título. Heisenbug vuelve a ser el orador principal, cuya actividad principal no está relacionada con las pruebas, pero debido al material llamativo y un enfoque muy poco estándar deja una excelente impresión y sirve como un buen recordatorio para los "colegas en la tienda" sobre los objetivos y valores comunes de la profesión.
En el discurso de clausura final, Ivan demuestra cuán estrechamente conectado, pero al mismo tiempo, las tareas de garantizar la calidad y el análisis de datos son muy diferentes. Por ejemplo, aprenderá qué es común entre el reciclaje de modelos y los sistemas de control de calidad estrictos, por qué necesita recordar el racionalismo crítico para aquellos que trabajan con datos reales y cómo formular correctamente las hipótesis y los requisitos para las tareas de análisis de datos.
Quizás para algunos sea el primer encuentro con el mundo del aprendizaje automático, después del cual querrás descubrirlo tú mismo.
Si no tiene docenas, proporcione un enlace a una lista de reproducción más completa del pasado Heisenbug. Y hay algo aún mejor: el próximo Heisenbug 2019 Moscú se llevará a cabo del 5 al 6 de diciembre . El programa en su conjunto está listo , y para aquellos que aún no han decidido si "ir", es hora de hacerlo.