京东系统质量保障技术实战

“质量保障”贯穿本书始终，也是本书的灵魂之所在。本书从完善的业务质量保障流程制定，到前后端自动化测试框架的搭建，从代码扫描使质量保障前置，到持续集成的逐步落地，从测试环境的集中化管理，到安全测试理论及安全工具的使用，从数据化的精细团队管理到以人为本的团队提升策略应用，都是本书所关注的内容。

 

在互联网飞速发展的今天，系统的复杂度及迭代速度都在不断提升，这对质量保障工作提出巨大挑战。那么如何在快速迭代发布下保障系统质量呢？阅读本书或许会找到一些答案。本书由*商城研发 POP 平台—测试与质量管理团队倾力打造，开篇从基础业务测试、测试过程管理及 SOA 架构下的软件测试等基本质量保障内容入手，逐步展开讨论了自动化测试、测试环境管理等提升质量保障效能的实践内容，实现将质量保障从手工测试推向自动化的进阶。 本书中间篇章聚焦于持续集成及静态代码扫描实战经验的总结和质量保障提效工具的开发实践。此外， 本书还介绍了大量安全测试的实战经验。本书内容的*后部分深入描述了如何有效管理质量团队，从质量保障流程的制定到推行再到优化，从打造靠谱团队到团队成长等方面来向读者分享管理团队过程中这些必须面对的问题。本书内容涉猎广泛以实战为主线， 是近年来质量保障领域不可多得的图书， 适合关心互联网质量保障领域技术及发展的各类读者。

商城研发POP平台部专注于POP开放平台的系统建设，致力于为第三方商家提供丰富的合作模式、优秀的电商系统和工具，打造健康开放的智慧生态。团队有店铺运营、市场营销、数据产品经理等方面的资深专家。他们熟悉开放平台营销工具，有丰富的电商运营经验，致力于运用全平台营销的方法和理念指导店铺运营，提高运营效率，提升店铺业绩和服务水平。

第1章 业务质量保障介绍 1
11 电商行业项目的特点  2
12 测试流程中的重点工作  3
121 测试前的工作 3
122 测试中的工作 6
123 上线后的工作 10
13 小结  10

第 2 章 SOA 架构下的软件质量保障 11
21 功能模块测试  12
211 接口测试  12
212 接口自动化测试 14
213 UI 测试  15
214 UI 自动化测试  16
22 联调测试  17
221 联调测试的意义 17
222 如何开展联调测试 17
23 小结  19

第 3 章 自动化测试实战  20
31 WebUI 实战 21
311 Selenium  21

313 构建一款基于 Selenium 的易用 WebUI 框架  30
32 接口测试实战  32
321 HTTP 接口实战 32
322 自研 RPC 接口实战  34
323 一款简单易用的接口测试框架 35
33 Mock 实战 39
331 对象 Mock 实战  39
332 接口 Mock 实战  40
34 分层测试的思考  42
341 分层测试的理解 42
342 怎么做分层测试 43
343 收益可视化  44
35 小结  45

第 4 章 测试环境管理 46
41 软件构建工具介绍及使用 47
411 Ant  47
412 Maven  49
413 Gradle  52
414 Jenkins  54
42 互联网系统运行环境及软件介绍 55
421 Nginx  55
422 Docker  56
43 测试环境分层  57
44 测试环境搭建  59
45 测试环境自动化运维  62
451 测试环境管理平台 62
452 测试服务器管理 65
453 稳定环境每日自动部署 65
454 日常测试自动部署 67
46 小结  69

第 5 章 持续集成实践70
51 持续集成介绍  71
511 持续集成的起源与发展 71
512 持续集成常用工具 73
52 为什么要做持续集成  73
521 避免集成地狱 74
522 如何做到快速交付 74
53 如何实施持续集成  75
531 从零开始构建持续集成 76
532 持续集成演进 77
533 工程师文化的重要性 80
534 持续集成流程优化 80
535 小团队的成功因素 81
536 规模化实施持续集成的一些困境 81
537 分步骤实现持续集成 82
54 小结  82

第 6 章 持续代码扫描实践  83
61 如何构建高质量的软件系统 84
611 质量是测试出来的吗 84
612 关注开发质量 85
613 测试人员如何参与代码评审 86
614 常见代码扫描工具介绍 87
62 从 0 到 1 实现持续代码扫描 89
621 SonarQube 的应用 89
622 从简单的维度开始关注代码质量 92
623 测试人员的职责扩展 94
624 小团队的优秀案例 94
63 基于 SonarQube 的持续代码扫描方案演进 95
631 大规模应用代码扫描遇到的一些瓶颈 95
632 由人工驱动向技术驱动的转变 96
633 由目标驱动向以服务研发为主的转变 97
634 由统一化向多样化的转变 97
635 规模化持续代码扫描的成功案例 98
64 小结  98

第 7 章 质量保障工具开发实战  99
71 质量保障工具开发技术栈 100
711 建站（Spring SpringMVC MyBatis Velocity JQuery
Bootstrap）  100
712 Spring  100
713 Spring MVC  103
714 MyBatis  107
715 前端技术  112
716 框架搭建  119
72 如何快速构建一个质量保障工具 124
721 需求调研  124
722 设计  127
723 任务管理  131
724 效果度量  135
73 小结  136

第 8 章 Web 安全测试技术实战  138
81 Web 安全概述  139
82 客户端绕过实战  139
821 HTML 绕过  139
822 URL 参数绕过 141
823 Http-Cookie 绕过 142
824 隐藏表单绕过 143
83 SQL 注入（SQL Injection）实战  144
831 注入原理剖析 144
832 注入产生条件 147
833 注入方法实战 148
834 Java JDBC 代码注入检测 149
835 MyBatis 框架代码注入检测 151
836 手工注入实战渗透 151
837 工具注入实战渗透 159
838 注入预防措施 163
84 文件上传实战  165
841 解析漏洞  165
842 上传渗透实战 167
85 跨站脚本攻击（XSS）  170
851 XSS 概述  170
852 XSS 原理分析  170
853 XSS 类型分类  172
854 探测方法实战 172
855 工具实战演练 176
856 BEEF 平台实战攻击利用 177
857 XSS 防御措施  180
86 跨站请求伪造（CSRF）  183
861 CSRF 原理分析 183
862 CSRF 预防 183
87 小结  184

第 9 章 测试团队管理实战 185
91 测试流程制定与效率提升 186
911 测试流程的制定 186
912 工作流程的推行 187
913 流程优化与提效 188
92 打造一支靠谱的团队 188
921 时刻让团队清楚目标 189
922 目标的衡量  190
923 目标达成的核心所在 191
924 言行合一，数据说话 192
925 互信合作，分享共赢 193
926 团队文化与正能量打造 194
93 团队成长 195
931 改变团队的行为习惯 195
932 建立团队技能模型 197
933 建立团队分享机制 200
934 业务能力提升 201
935 技术能力提升 202
936 有效利用绩效这把利剑 202
94 团队管理漫谈 203
941 团队管理要“千人千法”  204
942 承认不足，方能更近一步 205
943 关于问责  206
95 小结 208 

当软件研发处在快速迭代、持续交付的时代，只有质量保障体系成为坚强后盾，才能助研发一臂之力，而不是让质量成为瓶颈。*POP 平台质量团队给我们呈现的《*系统质量保障技术实战》一书乃雪中送炭。本书不仅在自动化测试、CI、持续静态分析、安全性测试等各个方面分享团队的实战经验和优秀实践，而且强调全过程的质量保障和团队协作，理顺测试流程，突出基于接口的测试和分层测试，将需求管理、开发、测试、环境维护等融为一体，相信这是一本难得的好书。
同济大学软件学院教授  知名软件质量专家  朱少民

这本书来自*测试人的实践、思考与创新。我在阅读此书时，感觉像是有多位资深“老司机”带路，他们带我领略电商测试之博大精深。在电商测试领域中，他们不断摸索、沉淀、反思，并把*效的精华集结成书。这本书能够帮助工程师提升Devops 意识，帮助公司建立质量文化，是近年来测试领域难得的实践派之佳作。
品友互动CTO  欧阳辰

本书作者以亲身经历的电商行业项目为例，介绍了项目各个阶段质量保障的实战经验，不仅有详尽的软件测试和持续交付相关技术，还有团队管理方面的内容，是一套非常全面的项目质量保障方案，值得软件质量保障人员借鉴和学习。
ThoughtWorks 中国QA Lead  BQConf 负责人  林冰玉

1.1 电商行业项目的特点
近年来，中国电子商务蓬勃发展，电子商务与日常百姓生活关系越来越密切，购物消费、上门服务、订购机票、预订酒店、旅游门票、手机充值等覆盖了生活的方方面面。笔者一直在电子商务类公司做软件质量团队的相关管理工作，参与了不少电商项目的测试。下面笔者根据观察到的一些现象，站在测试的角度对电商行业项目的特点进行如下总结。
（1）注重易用性
电子商务作为市场热门行业，激烈的市场竞争是必须面对的事实。大家都想吸引更多的用户，对于用户而言方便易用的软件更受欢迎。软件的易用性是软件质量中重要的特性，简单地说就是用户在使用过程中是否感觉方便舒适。在 2003 年颁布的 GB/T16260-2003（ISO 9126-2001）《软件工程产品质量》质量模型中，提出易用性包含易理解性、易学习性和易操作性。关于易用性，在具体的项目测试中我们通常首先要关注 UI（用户界面， User Interface）。用户在接触软件时首先看到的就是UI，为了给用户留下良好的印象，重要系统都有自己的 UI 规范，其定义了界面细致的标准，如导航、表单、表格、标签、按钮、翻页、进度条、文字错误提示等。除了符合规范，我们还要关注是否舒适直观、洁净、不唐突。易用性方面还要关注产品功能是否容易理解，操作是否简单不繁杂等。在实际项目中，这些内容往往是产品部门的同事做的工作比较多，但是作为测试工程师在测试过程中要有这方面的意识。
（2）注重安全性
据统计，电商企业在营销过程中，有 90%的客户会因为缺乏安全感和对网络信任度低而流失，安全问题是电子商务的核心问题。据 2016 年财报显示，年度活跃用户数已经达到 2.266 亿，如此庞大的用户量如果安全没有保障，则将带来巨大的损失。有专门的网络安全团队，对重要系统上线前都会进行安全扫描，也会定期对线上运行的系统进行安全检查。如果发现有安全漏洞，则会时间联系对应系统负责人解决处理。但是的系统和业务数量非常庞大，有些业务上的业务质量保障介绍安全问题全部依靠有限的安全部门同事检查并不够。所以在各系统功能测试阶段，测试工程师需要首先进行一轮安全测试。
（3）项目周期短，需求变化快
在传统的软件项目中，需求一般是十分确定的，交付时只要与需求一致即可，往往采用瀑布模式，项目周期相对较长。电子商务行业作为市场热门行业，激烈的市场竞争是必须面对的事实。电子商务项目相比传统项目需求变化快，当一个需求提出后，如果项目周期太长，那么交付时可能已经不适用当前的环境了。所以一个需求或项目从提出到上线交付根据功能复杂程度一般周期为几天到几个月。作为测试工程师在保障软件质量的同时应尽力通过技术和工作方法提高效率，缩短测试时间从而缩短整个项目的周期。