软件评测师下午考题重点笔记.docx
《软件评测师下午考题重点笔记.docx》由会员分享,可在线阅读,更多相关《软件评测师下午考题重点笔记.docx(14页珍藏版)》请在冰豆网上搜索。
软件评测师下午考题重点笔记
请简述单元测试的主要内容。
模块接口测试(1分)、局部数据结构测试(1分)、路径测试(1分)、错误处理测试(1分)、边界测试(1分)。
集成测试也叫组装测试或者联合测试,请简述集成测试的主要内容。
(1)在把各个模块连接起来的时候,穿越模块接口的数据是否会丢失(1分):
(2)一个模块的功能是否会对另一个模块的功能产生不利的影响(1分);
(3)各个子功能组合起来,能否达到预期要求的父功能(l分);
(4)全局数据结构是否有问题(1分);
(5)单个模块的误差累积起来,是否会放大,从而达到不能接受的程度(1分)。
集成测试与系统测试的关系
集成测试的主要依据是概要设计说明书,系统测试的主要依据是需求设计说明书。
集成测试是系统模块的测试,系统测试是对整个系统的测试,包括相关的软硬件平台、网络以及相关外设的测试
软件系统的用户文档包括哪些?
·用户手册
·安装和设置指导
·联机帮助
·指南、向导
·样例、示例和模板
·授权/注册登记表
·最终用户许可协议
·宣传材料、广告及其他插页(答对以上其中6点,每点给I分)
系统中用户文档的测试要点。
·读者群。
文档面向的读者定位要明确。
对于初级用户、中级用户以及高级用户应该有不同的定位。
·术语。
文档中用到的术语要适用于定位的读者群,用法一致,标准定义与业界规范相吻合。
·正确性。
测试中需检查所有信息是否真实正确,查找由于过期产品说明书和销售人员夸大事实而导致的错误。
检查所有的目录、索引和章节引用是否已更新,尝试链接是否准确,产品支持电话、地址和邮政编码是否正确。
·完整性。
对照软件界面检查是否有重要的分支没有描述到,甚至是否有整个大模块没有描述到。
·一致性。
按照文档描述的操作执行后,检查软件返回的结果是否与文档描述相同。
·易用性。
对关键步骤以粗体或背景色给用户以提示,合理的页面布局、适量的图表都可以给用户更高的易用性。
需要注意的是文档要有助于用户排除错误,不但描述正确操作,也要描述错误处理办法。
文档对于用户看到的错误信息应当有更详细的文档解释。
·图表与界面截图。
检查所有图表与界面截图是否与发行版本相同。
·样例和示例。
像用户一样载入和使用样例。
如果是一段程序,就输入数据并执行它。
以每一个模版制作文件,确认它们的正确性。
·语言。
不出现错别字,不要出现有二义性的说法。
特别要注意的是屏幕截图或绘制图形中的文字。
·印刷与包装。
检查印刷质量;手册厚度与开本是否合适;包装盒的大小是否合适;有没有零碎易丢失的小部件等。
安装测试应当从哪几个方面来考虑?
评估安装手册
安装的自动化测试
安装选项和设置的测试
安装过程的中断测试
安装顺序测试
多环境安装测试
安装正确性测试
修复安装与卸载测试
整体界面测试和界面中的元素测试分别应当设计哪些测试点?
界面整体测试:
规范性测试、合理性测试、一致性测试和界面定制性测试
界面元素测试:
窗口测试、菜单测试、图标测试、鼠标测试和文字测试。
软件帮助测试时的测试要点。
文本的准确性
与程序的接口
帮助索引的检查
超链接的正确性
链接的意义
风格应简洁
软件测试过程的关键活动:
测试需求分析
制定测试计划
测试设计
测试执行
测试分析与总结
质量保证手段:
制定质量保证计划、质量体系建立
测试活动审核、测试文档评审
测试过程数据的收集、度量与分析
增值组装的方式:
自顶向下的增殖方式
自底向上的增殖方式
混合增殖式测试
除增殖式组装方式外还有一次性组装方式
测试实施成本的构成。
测试准备成本
测试执行成本
测试结束成本
缺陷探测率=测试者发现的错误数/(探测者发现的错误数+客户发现并反馈给技术支持人员进行修复的错误数)
(1)确定可靠性目标
(2)可靠性数据(3)分析可靠性的因素(4)可靠性模型(5)可靠性评价
【问题2】(5分)
解释说明软件可靠性测试的目的,并说明狭义和广义软件可靠性测试的区别。
可靠性测试的目的可归纳为以下三个方面:
(P489)
①发现软件系统在需求、设计、编码、测试、实施等方面的各种缺陷。
②为软件的使用和维护提供可靠性数据。
③确认软件是否达到可靠性的定量要求。
广义的软件可靠性测试是指为了每终评价软件系统的可靠性而运用建模、统计、试验、分析、评价等一系列手段对软件系统实施的一种测试。
狭义的软件可靠性测试是指为了获取可靠性数据,按预先确定的测试用例,在软件的预期使用环境中,对软件实施的一种测试。
狭义的软件可靠性测试也叫“较件可靠性试验(sottwan:
reliabilitytest)”,它是面向缺陷的测试,以用户将要使用的方式来测试软件,每一次测试代表用户将要完成的一组操作,使测试成为最终产品使用的预演。
这就使得所获得的测试数据与软件的宴际运行数据比较接近,可用于软件可靠性评价。
【问题3】(2分)
可靠性目标是指客户对软件性能满意程度的期望。
通常采用失效严重程度、可靠度、故障强度、平均无故障时间等指标来描述。
请分别解释其含义。
失效严重程度类就是对用户具有相同程度影响的失效集合。
(P486)
可靠度就是软件系统在规定的条件下,规定的时间内不发生失效的概率。
(P483)
故障强度是指:
以单位运转时间的软件故障停机小时表示停机时间的长短,其表式为:
软件故障强度率=100%*软件故障停机小时/软件实际运转时间。
平均无故障时间(MTTF):
全称是MeanTimeToFailure,即平均失效时间。
系统平均能够正常运行多长时间,才发生一次故障。
系统的可靠性越高,平均无故障时间越长。
判定覆盖只关心判定表达式的值(真/假),而条件覆盖涉及到判定表达式的每个条件的值(真/假)。
交易吞吐量:
系统服务器每秒能够处理通过的交易数。
响应时间是系统完成事务执行准备后所采集的时间戳和系统完成待执行事务后所采集的时间戳之间的时间间隔,是衡量特定类型应用事务性能的重要指标,标志了用户执行一项操作大致需要多长时间。
当CPU资源使用成为系统瓶颈时的解决方案可以概括为:
1.增加CPU的个数;2.提高CPU的主频;
3.将web服务器与数据库服务器分开部署;4.调整软件的设计与开发;
当带宽成为系统瓶颈时的解决方案可以概括为:
1.增加带宽;2.压缩传输数据。
该酒店预订系统在生产环境下承受的主要负载类型:
(1)检索功能、预订功能并发用户的操作是属于并发执行负载;
(2)连续运行72小时是属于疲劳强度负载;
(3)大量“稿件查询”操作是属于大数据量负载。
负载测试的目的:
负载测试通过逐步增加系统负载,测试系统性能的变化,并最终确定在满足性能指标的情况下,系统所能承受的最大负载量的测试。
发现系统的负载极限。
它的目的有在真实环境下检测系统性能,评估系统性能以及服务等级的满足情况,分析系统瓶颈、优化系统;如最大并发用户数、执行响应时间、交易呑吐量。
压力测试的目的:
通过逐步增加系统负载,测试系统性能的变化,并最终确定在什么负载条件下,系统性能处于失效状态,并以此来获得系统能提供的最大服务级别的测试。
它的目的是为了发现在什么情况下系统的性能会变得不可接受(或崩溃)。
一般能够承受的压力,同时能够承受的用户访问量(容量),最多支持有多少用户同时访问某个功能。
是预见系统压力承受能力,在应用实际部署之前,评估系统性能,分析系统瓶颈、优化系统;消除瓶颈,提高系统性能,即提高响应时间与呑吐量。
应用服务器性能评价的关键指标有:
1、并行用户数:
指某一物理时刻同时向系统提交请求的用户数。
2、事务执行响应时间:
是系统完成事务执行准备后所采集的时间戳和系统完成待执行事务后所采集的时间戳之间的时间间隔,是衡量特定类型应用事务性能的重要指标,标志了用户执行一项操作大致需要多长时间
3、交易执行呑吐量(trans/s):
每秒钟执行的业务数。
或系统服务器每秒能够处理通过的交易数。
4、系统资源性能关键指标有:
CPU、内存、磁盘)
数据库服务器性能评价的关键指标有:
用户连接数、数据库死锁、数据库Cache的命中情况及CPU、内存、磁盘。
链接测试的目的:
用来检验Web网站提供信息的正确性、准确性和相关性。
链接测试主要测试如下3个方面:
1)每个链接是否能够链接到目标页面
2)被链接的页面是否存在
3)是否存在孤立页面
系统的兼容性测试:
1)平台兼容性(1分)和浏览器兼容性(1分)。
strUserName:
Zhang'--strPassword:
San
【注:
上述用例将使得该SQL语句变为:
SELECT*FROMUsersWHEREUser_Name=‘Zhang'--ANDPassword=‘San';】
负载压力测试的主要目的
1)在真实环境下检测系统性能,评估系统性能以及服务等级的满足情况
2)预见系统负载压力承受力,在应用实际部署之前,评估系统性能
3)分析系统瓶颈、优化系统
数据管理系统进行性能测试时,主要关注哪些性能指标?
1)并发用户数
2)响应时间
3)资源利用率
因果图设计测试用例的步骤:
(1)分析程序规格说明的描述中,哪些是原因,哪些是结果。
原因常常是输入条件或输入条件的等价类,而结果是输出条件。
(2)分析程序规格说明的描述中语义的内容,并将其表示成连接各个原因与各个结果的"因果图"。
(3)标明约束条件。
由于语法或环境的限制,有些原因和结果的组合情况是不可能出现的。
为表明这些特定的情况,在因果图上使用若干个标准的符号标明约束条件。
系统的安全防护体系包括的层次
对于服务器操作系统的安全,应当从哪些方面进行测评?
安全日志是软件被动防范的措施,是重要的安全功能,软件的安全日志应当记录哪
些信息?
在安全测试中应当检查安全日志的哪些方面?
针对网页被篡改的问题,从技术层面看有哪些防范措施?
1)给服务器打上最新的安全补丁程序
2)封闭未用但开放的网络服务端口
3)合理设计网站程序并编写安全代码
4)设置复杂的管理员密码
5)设置合适的网站权限
6)安装专业的网站防火墙和入侵检测系统
防篡改系统应具备哪些基本功能:
1)自动监控
2)自动备份和恢复
3)自动报警
4)区分合法更新与非法篡改
通信加密的目的是对传输中的数据流加密,以防止通信线路上的窃听、泄漏、篡改和破坏。
通信加密测试的基本方法通常采用验证和侦听技术完成。
用户口令应当满足当前流行的控制模式,注意测试用户口令的强度和存储的位置和加密强度。
口令要测试如下内容:
①最大口令时效;②最小口令时效;③口令历史;④最小口令长度;⑤口令复杂度;⑥加密选项;⑦口令锁定;⑧帐户复位。
用户权限分配合理性、用户名、用户密码的各项限制。
用户名称的唯一性:
●同时存在的用户名称在不考虑大小的状态下,不能够同名;
●对于关键领域的软件产品和安全要求较高的软件,应当同时保证使用过的用户在用户删除或停用后,保留该用户记录,并且新用户不得与之同名。
采用身份认证、数字签名等技术进行用户认证机制:
分为数字证书(检验用户身份的电子文件)、智能卡、双重认证、安全电子交易协议(SET电子商务中安全电子交易的国际标准);测试时有必要对用户认证机制进行全面测试,评价认证机制的合理性。
(P428用户论证机制)
安全防护策略是软件系统对抗攻击的主要手段,安全防护策略主要有安全日志、入侵检测、隔离防护、漏洞扫描等。
(P430)
Web应用安全测试应考虑下面内容:
●目录测试
●SSL套接字测试
●登录验证
●日志文件
●脚本语言
对用户权限控制的测试应包含哪两个主要方面?
每个方面具体的测试内容又有哪些?
①评价用户权限控制的体系合理性,是否采用三层的管理模式即系统管理员、业务领导和操作人员三级分离;
②用户名称基本采用中文和英文两种,对于测试来说,对于用户名称的测试关键在于测试用户名称的唯一性。
用户名称的唯一性体现有哪些方面?
●同时存在的用户名称在不考虑大小的状态下,不能够同名;
●对于关键领域的软件产品和安全要求较高的软件,应当同时保证使用过的用户在用户删除或停用后,保留该用户记录,并且新用户不得与之同名。
针对该系统的可能攻击:
模拟攻击试验:
模拟攻击试验是一组特殊的黑盒测试案例,我们以模拟攻击验证软件或信息的安全防护能力。
可采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试。
泪滴(teardrop)泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击。
防御措施有服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
口令猜测。
因为使用简单的密码或者没有设密码,导致黑客能很快的将口令猜出
伪造电子邮件。
由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,
对该系统安全审计功能设计的测试点应包括:
①能否进行系统数据收集,统一存储,集中进行安全审计;
②是否支持基于PKI的应用审计;
③是否支持基于XML的审计数据采集协议;
④是否提供灵活的自定义审计规则。
升级会员 