Bonjour, Habr! Nous publions une sélection d'excellents rapports sur les tests et tout ce qui les entoure. Les
notes des visiteurs
de Heisenbug 2019 Piter ont déterminé les meilleurs rapports de cette conférence, à partir desquels vous apprendrez, par exemple:
- Un testeur peut-il changer toute l'entreprise;
- Que se passe-t-il avec les tests lorsqu'une startup passe au statut de grande entreprise;
- Comment intégrer des systèmes de paiement afin de ne pas ruiner l'entreprise;
- Pourquoi et comment vérifier ceux qui vérifient;
- Comment trouver des trous dans un projet dont les pirates peuvent profiter;
- Ce qui est commun entre les tests et l'analyse des données.
Nous avons également préparé une playlist avec les meilleurs enregistrements vidéo de reportages. C'est parti!
Bougez vite et ne cassez pas les choses
Conférencier:
Yuri DymovEmplacement: 10
Présentation du rapportAu début, les startups de la vallée suivent les principes de la rapidité et de la rupture (si rien ne casse, cela signifie que vous ne vous développez pas assez rapidement). Mais si la startup s'est développée, il y a maintenant des centaines de développeurs, et le coût de l'erreur est de plusieurs millions, l'entreprise commence à prêter beaucoup plus d'attention à la qualité.
Par exemple, la panne mondiale des systèmes Uber pendant deux heures a coûté à l'entreprise plusieurs dizaines de millions de dollars, après quoi l'entreprise a complètement reconstruit le processus de développement et de test à tous les niveaux - le backend a été copié sur des microservices et les applications mobiles ont été réécrites à partir de zéro. Le rapport de Yuri explique comment Uber teste de nouvelles applications mobiles basées sur l'architecture Presidio et comment automatiser les tests sur iOS.
Pandora: les tests de résistance sous forme de code
Conférencier:
Alexey LavrenyukEmplacement: 9
Présentation du rapportAuparavant, Heisenbug Alexey représentait les projets Yandex.Tank et Yandex.Volta, et maintenant il est revenu avec un rapport sur Pandora - «une arme pour Yandex.Tank». Il s'agit d'un générateur de charge open source écrit en Go - vous pouvez «tirer» à la fois des canons prêts à l'emploi et créer vos propres outils de script.
Dans son rapport, Alexey vous expliquera comment Pandora fonctionne, comment écrire un script juste avant le tir, le configurer pour un service spécifique, le lancer et après avoir automatisé les tests de charge, collecter la surveillance et recevoir de beaux rapports.
Test des services payants: comment arrêter de démarrer l'avion pour vérifier la lumière sur le tableau de bord
Conférencier:
Vladimir Solodov, Victor KoronevichEmplacement: 8
Présentation du rapportDouble rapport sur un sujet important pour de nombreux systèmes de paiement. Victor et Vladimir vous expliqueront comment intégrer correctement les agrégateurs de paiement, quels pièges vous pouvez facilement rencontrer et comment les éviter. En fait, le rapport peut être considéré comme une instruction avec des diagrammes, des problèmes, des solutions et des conclusions sur chaque question.
Ils utilisent également l'App Store comme exemple pour résoudre le problème des bacs à sable instables et comment le résoudre de manière à ce qu'ils n'aient pas le temps de faire faillite pendant les tests.
Accélérer Apache JMeter
Conférencier:
Vyacheslav SmirnovEmplacement: 7
Présentation du rapportApache JMeter a un problème qui n'est pas toujours résolu - la vitesse des scripts de chargement, qui peut sérieusement affecter un projet où une charge élevée est nécessaire.
Le rapport de Vyacheslav, qui a éprouvé la peine d'optimiser les tests, est consacré aux approches de l'écriture optimale des scripts, qui permettent d'économiser sur les machines de chargement et de jeter un regard neuf sur l'optimisation du code. Selon l'un des auditeurs, la conférence est littéralement saturée de sang, puis de litres de café bu la nuit et aidera à contourner le champ de mines du râteau lors des tests de résistance.
Reconnaître et rassembler les oscilloscopes avant les tests de pénétration
Conférencier:
Igor LyrchikovEmplacement: 6
Présentation du rapportL'une des caractéristiques de ce Heisenbug était de nombreux rapports de sécurité - deux sont entrés en haut. La première aide à se faire une idée de la reconnaissance («intelligence») - la première étape que les pirates ou les pentesters prennent pour commettre une attaque de pirate sur un produit ou une entreprise.
Igor explique en détail comment collecter le maximum d'informations sur l'infrastructure pour identifier les lieux d'attaque vulnérables aux pirates et effectuer des tests de sécurité, comment automatiser ces actions dans n'importe quel langage de script et des solutions toutes faites. Regardez le rapport et testez vos produits!
Pour beaucoup, l'histoire a été rappelée par l'entrée dans l'esprit des thrillers d'espionnage: «les clients nous embauchent pour essayer de pirater leur système de plusieurs façons, même en pénétrant dans le bâtiment sous le couvert de nettoyeurs de piscine.»
Test de test
Conférencier:
Nikita SobolevEmplacement: 5
Présentation du rapportLa phrase latine ailée «Quis custodiet ipsos custodes?» Signifiant «Qui gardera les gardiens?» Est particulièrement pertinente dans les tests. Et dans ce rapport - une discussion pratique sur la vérification de ceux qui testent les tests! Le problème est aussi ancien que le monde: du code est en cours de développement, des tests sympas sont écrits pour ça, mais tout de même, tout tombe dans la prod. Nikita suggère d'utiliser des tests de mutation.
Dans un rapport qui a captivé de nombreux auditeurs, il explique les bases théoriques et met tout en ordre: comment et pourquoi tester les tests, montre quels outils sont disponibles, en utilisant Python comme exemple, parle honnêtement des problèmes de leur implémentation.
Tests et automatisation Web modernes avec marionnettiste
Conférencier:
Andrey LushnikovEmplacement: 4
Présentation du rapportHeisenbug classique: une histoire sur un outil populaire pour les testeurs de qui est responsable de cet outil. Andrey prend la première ligne de la
liste des contributeurs Puppeteer, et estime que cet outil est l'avenir des tests web et de l'automatisation.
Il explique les principes de la bibliothèque, explique pourquoi elle est si rapide, démontre au combat et montre le dernier prototype de Puppeteer pour Firefox. Un bon rapport pour ceux qui veulent en savoir plus sur l'une des API populaires et utiles pour l'automatisation des tests.
Recherchez efficacement les vulnérabilités XSS
Conférencier:
Ivan RumakEmplacement: 3
Présentation du rapportLe deuxième rapport de sécurité en haut concerne le Cross-Site Scripting, qui est toujours systématiquement inclus dans le top 10 des attaques les plus dangereuses contre les applications Web. Par conséquent, une histoire d'un expert est à la fois intéressante et utile.
Dans son rapport, Ivan parle de l'essence de la vulnérabilité et partage sa technique de recherche, avec l'aide de laquelle il n'a trouvé 54 bogues XSS dans les programmes de recherche de vulnérabilité que l'année dernière, dont certains provenaient de Mail.ru, Yandex et QIWI.
Le rapport convient également aux débutants et à ceux qui sont dans le sujet: il est toujours utile de se renseigner sur les parties potentiellement vulnérables des applications Web et d'apprendre à rechercher des montants dans XSS à l'aide de la charge utile universelle.
Changer la culture de test de votre organisation
Conférencier:
Jim HolmesPlace: 2
Présentation du rapportLes outils et les techniques peuvent être étudiés autant que vous le souhaitez, mais si une grande entreprise a des problèmes avec la culture des tests, rien n'y fera. Que faire alors? Un testeur régulier qui ne dirige pas l'entreprise peut-il affecter le problème? Jim Holmes répond à cette question globale dans son discours d'ouverture, dont le slogan peut être "un petit pas pour le testeur et un énorme bond pour toute l'entreprise".
Jim parle de quels types de problèmes sont typiques des grandes entreprises en général, comment vivre avec et comment gérer des exemples simples d'entreprises dans lesquelles il a travaillé pendant sa longue carrière. Vous apprendrez des approches pratiques qui aideront à changer la culture des tests dans une entreprise, quelle que soit sa taille, apprendrez à expliquer vos idées, comprendrez comment influencer vos objectifs commerciaux et verrez à quelle fréquence et de manière dévastatrice les mauvais dirigeants peuvent commettre des erreurs.
Et en bonus au rapport - vous pouvez lire notre grande
interview avec Jim sur la culture des tests.
Quis custodiet ipsos custodes? Ce qui est commun entre les tests et l'analyse des données
Conférencier:
Ivan YamshchikovEmplacement: 1
Nous avons déjà mentionné la phrase «Quis custodiet ipsos custodes?» Dans ce haut - et ici c'est juste dans le titre. Heisenbug est à nouveau dans le haut-parleur, dont l'activité principale n'est pas liée aux tests, mais en raison du matériel frappant et d'une approche très non standard laisse une excellente impression et sert de bon rappel aux «collègues de l'atelier» sur les objectifs et valeurs communs de la profession.
Dans le discours de clôture, Ivan montre à quel point, mais en même temps, les tâches visant à garantir la qualité et l'analyse des données sont très différentes. Par exemple, vous apprendrez ce qui est commun entre la reconversion des modèles et les systèmes de contrôle qualité stricts, pourquoi vous devez vous souvenir du rationalisme critique pour ceux qui travaillent avec des données réelles et comment formuler correctement des hypothèses et des exigences pour les tâches d'analyse de données.
Pour certains, ce sera peut-être la première rencontre avec le monde de l'apprentissage automatique, après quoi vous voudrez le découvrir vous-même.
Si vous n'en avez pas des dizaines, donnez un lien vers une liste de lecture plus complète du passé Heisenbug. Et il y a encore mieux: le prochain Heisenbug 2019 Moscou se tiendra les 5 et 6 décembre . Le programme dans son ensemble est prêt - et pour ceux qui n'ont pas encore décidé de "partir", il est temps de le faire.