Sinopsis del informe "Monolito para cientos de versiones de clientes" (HL2018, Badoo, Vladimir Yants)

Continuando una serie de resúmenes con HL2018. Los muchachos de Badoo (Vladimir Yants vyants y Nikolay Krapivny) me ayudaron a revisar este resumen, por lo que les agradezco mucho. Espero que esto tenga un efecto positivo en la calidad del mensaje del informe.

Características del proceso de desarrollo:

La responsabilidad del desarrollador no termina con el lanzamiento del backend. Es responsable antes de la implementación en plataformas.



Hay pruebas manuales, pero el cliente no está listo en el momento del lanzamiento y se libera con un retraso (impredecible). A menudo no sabemos cuándo los clientes comenzarán a implementarlo. Algunas veces (no con frecuencia) las características comienzan a hacerse después de un largo tiempo. Por lo tanto, probar con las manos es difícil y no todo es posible. Por lo tanto, se necesitan pruebas automáticas.

Pruebas

Pruebas unitarias

Escrito en phpunit.

Prueba una pequeña unidad. No van a la base de datos ni a los servicios (no deben interactuar con nada).

Legacy todavía tiene y complica el proceso de prueba.

Desarrollaron la biblioteca softMocks: engancha todo incluir / requerir y lo reemplaza con el modificado.

Puede liquidar cualquier método: estático, privado, final.
La biblioteca está disponible en código abierto.

Problema: las softmocks se relajan y le permiten escribir código no probado (y cubrirlo con pruebas).

Aceptó las reglas:

• El nuevo código debería ser fácil de probar phpunit
• SoftMocks - caso extremo (código antiguo / largo / costoso / complicado)

Observamos la revisión del código para estas reglas.

Prueba de calidad

Prueba de mutación

• Toma el código
• Tomar cobertura de código
• Analizamos el código y aplicamos mutaciones (cambio + => -; verdadero => falso, etc.)
• Para cada mutación, ejecutamos un conjunto (conjunto) de pruebas.
• Si las pruebas fallan, entonces aprox. Si no, no son lo suficientemente efectivos. Entendemos, cambiar / agregar pruebas.

Existen soluciones listas para usar (Humbug, Infección), pero no encajan (no son compatibles con las softmocks, existen dificultades con la cobertura del código). Por lo tanto, escribieron los suyos.

La prueba de mutación aún no está disponible para la prueba manual. Disponible para ejecutarse manualmente, desde la consola. Ahora lo estamos implementando en la tubería de CI, estamos construyendo el proceso. El resultado estará en Habr.

Pruebas de integración

Probar el funcionamiento de varios componentes en conjunto; Verificamos el trabajo con la base y / o servicios.

Enfoque estándar para pruebas de bases de datos (DBUnit):

1. Levantar la base de datos de prueba
2. Llenarlo
3. Ejecute la prueba
4. Limpiamos la base de datos

Los problemas:

• Es necesario admitir tablas de datos y conjuntos de datos (relevancia de los contenidos de la base de datos)
• Lleva tiempo preparar la base de datos
• Los lanzamientos paralelos hacen que las pruebas sean inestables y provoquen puntos muertos

Solución: biblioteca DBMocks (solución propia)

Principio de funcionamiento:

• Métodos de controlador de base de datos interceptados utilizando SoftMocks en la prueba de configuración
• De la solicitud parsim db + table
• Tmpfs crea tablas temporales con el mismo esquema
• Todas las consultas van solo a tablas temporales
• En TearDown, se eliminan.

La biblioteca es pequeña, pero aún no está abierta en código abierto.

Resultados:

• Las pruebas no pueden dañar los datos en las tablas originales
• Las pruebas están aisladas unas de otras (se pueden ejecutar en paralelo)
• Prueba de compatibilidad de consultas con la versión MySQL

Pruebas de API

• Imita una sesión de cliente
• Capaz de enviar solicitudes de backend
• El backend responde casi como un cliente real

Típicamente, tales pruebas requieren un usuario autorizado. Debe crearse antes de la prueba y eliminarse después. Esto introduce riesgos adicionales (replicación, tareas en segundo plano).

Solución: Creamos un grupo de usuarios de prueba. Aprendí a limpiarlos.



Los usuarios de prueba están en el mismo entorno que los reales, porque devel! = Prod. Es necesario aislar a los usuarios de prueba y en vivo.

Para el aislamiento, se agregó el indicador is_test_user para el usuario. Y estos usuarios también están excluidos del análisis y los resultados de las pruebas a / b.

Puede hacerse más barato enviando usuarios de prueba "a la Antártida", donde nadie los verá (excepto los pingüinos).

API de control de calidad

Una herramienta para preparar el entorno en pruebas de API, de hecho, una puerta trasera en el servidor para cambiar rápidamente la configuración del usuario / entorno.

• Métodos de API bien documentados
• Administre datos de forma rápida y sencilla.
• Los desarrolladores escriben backend
• Solo se puede aplicar a usuarios de prueba.

Permite al usuario cambiar datos inmutables (por ejemplo, fecha de registro).

Protección requerida:

• A nivel de red (disponible solo desde la red de la oficina)
• Se pasa un secreto con cada solicitud, cuya validez se verifica
• Los métodos solo funcionan con usuarios de prueba.

Hay un programa BugsBounty en HackerOne. Pagan por las vulnerabilidades encontradas. Uno no puede encontrarlo con la API de control de calidad.

Simulacros remotos

Moki para el backend remoto.

Trabaja sobre la base de simulacros suaves. La prueba le pide al backend que se inicialice para la sesión simulada. Al recibir la solicitud, el backend verifica la lista de mox para la sesión y los aplica usando SoftMocks.

Ejemplo de prueba:



Las pruebas de API son demasiado convenientes. Es tentador escribirlos en lugar de Unit. Pero las pruebas de API son mucho más lentas.

Adoptó un conjunto de reglas:

• El propósito de las pruebas API es probar el protocolo y la integración.
• Comprobación válida de flujo complejo
• La variabilidad pequeña no se puede probar.
• En la revisión de código, también probamos las pruebas.

Pruebas de Ui

El comando backend no escribe.

La característica está cubierta por las pruebas de Ui cuando se estabiliza.
Usado por selenium para la web. Para calabaza móvil.

Prueba de funcionamiento

100.000 pruebas unitarias. 6,000 integración, 14,000 pruebas de API.
En 1 flujo, el tiempo es de 40 min / 90 min / 10 horas.

Made TestCloud: una nube para ejecutar pruebas.



La distribución de la prueba entre hilos:

• Puede igualmente (mal, todas las pruebas son diferentes, resulta desigual en partes de tiempo)
• Ejecute múltiples subprocesos y alimente las pruebas de phpunit de una en una (sobrecarga de inicialización. ¡Largo!)

Solución:

• Recopilación de estadísticas sobre el tiempo de ejecución.
• Diseño de pruebas para que el fragmento no se ejecute más de 30 segundos

El problema con las pruebas de API es mucho tiempo, muchos recursos y no permiten que otros se ejecuten.

Para resolverlo, dividimos la nube en 2 partes:

1. Ejecuta solo pruebas rápidas.
2. Ejecuta ambos tipos de pruebas.

El resultado es una aceleración del tiempo para:

• Unidad - 1 min
• Integración - 5 min
• API - 15 minutos.

Ejecución de cobertura de código

¿Qué pruebas realizar? Mostrará la cobertura del código.

1. Obtenemos rama diff
2. Crea una lista de archivos modificados
3. Obtenga una lista de pruebas para estos archivos.
4. ejecutamos la suite solo desde estas pruebas.

La cobertura se forma una vez al día, por la noche, para la rama maestra. Los resultados (diff) se agregan a la base de datos.

Pros:

• Realizamos menos pruebas: menos carga de hardware y comentarios de prueba más rápidos
• Puede ejecutar pruebas para parches. Esto le permite implementar rápidamente la revisión. En parches, la velocidad es lo más importante.

Contras:

• Lanzamiento de backend 2 veces al día. Después del almuerzo, la cobertura es menos relevante (pero al desplegar un ritmo, siempre manejamos una suite completa).
• Las pruebas de api generan una amplia cobertura. Para ellos, este enfoque no proporciona muchos ahorros.

Si el desarrollador necesita ver de inmediato la cobertura del código, es decir, una herramienta que se puede iniciar en la consola e inmediatamente obtener una nueva métrica para la cobertura de un archivo / componente en particular.
Se considera complicado: se toman los datos del maestro de cobertura, se agregan todas las pruebas modificadas, resulta un pequeño conjunto en el que ya se considera la cobertura.

Resumen

• Necesita todos los niveles de prueba
• Cantidad! = Calidad. Hacer revisión de código y pruebas de mutación
• Aísle a los usuarios de prueba de los reales.
• Los backends en el backend simplifican y aceleran las pruebas de escritura
• Recopilar estadísticas sobre las pruebas.

Referencias

• Diapositivas: bit.ly/yants-HL18
• Nuestro protocolo: "Cómo admitimos 100 versiones diferentes de clientes en Badoo" / Yaroslav Golub
• SoftMocks: "SoftMocks: nuestro kit de ejecución de reemplazo para PHP 7" / Yuri Nasretdinov , github.com/badoo/soft-mocks
• Badoo bugsbounty
• Pruebas de IU: "Automatización de pruebas móviles multiplataforma y entrega continua" / Sathish Gogineni
• TestCloud: "Paralelización óptima de pruebas unitarias o 17000 pruebas en 4 minutos" / Ilya Kudinov
• QAAPI: Una mirada a las pruebas desde el otro lado de las barricadas. / Informe de Dmitry Marushchenko en LoveQA
• Backend: Badoo. Todo sobre el backend de la aplicación móvil Badoo / Nikolay Krapivny