5.5风险与测试

5.5.1 风险定义
风险涉及将来发生具有负面后果的事件的可能性。风险级别由事件的可能性和该事件的影响（损害）决定。
5.5.2 产品和项目风险
产品风险涉及工作产品(例如规格说明、组件、系统或测试)可能无法满足其用户和/或利益相关者的合法要求。当产品风险与产品的特定质量特性（如功能适用性、可靠性、性能效率、易用性、安全性、兼容性、可维护性和可移植性）相关联时，产品风险也称为质量风险。产品风险的例子包括：
• 软件无法按照规格说明完成其预期的功能
• 软件无法根据用户、客户和/或利益相关者的要求完成其预期功能
• 系统架构无法充分支持某些非功能性需求
• 在某些情况下，特定计算是错误的
• 循环控制结构编码不正确
• 对高性能事务处理系统而言，响应时间不够
• 用户体验反馈达不到产品预期
项目风险涉及的情况如果发生，会对项目实现其目标的能力产生负面影响。项目风险的例子包括：
• 项目问题：
o 在交付、任务完成或满足出口准则或已完成的定义方面出现延迟
o 不准确的估算、将资金重新分配给更优先的项目或组织层面的一般费用削减导致资金不足
o 后续变更导致实质性的返工
• 组织问题:
o 没有足够的技能、培训和工作人员
o 个人问题导致的冲突和问题
o 由于业务优先级冲突，导致用户、业务人员或专题专家的不可用
• 政治问题:
o 测试人员无法充分表达他们的要求和/或测试结果
o 开发人员和/或测试人员无法跟踪测试和评审中发现的信息（例如：无法改进开发和测试实践）
o 对测试不恰当的态度或期望（例如：不重视在测试过程中发现缺陷的价值）
• 技术问题:
o 需求没有被很好的定义
o 鉴于当前存在的限制，需求无法得到满足
o 测试环境没有按时就绪
o 数据转换、迁移规划及其工具支持出现延迟
o 开发过程中的不足，影响项目工作产品的一致性或质量，如设计、代码、配置、测试数据和测试用例
o 缺陷管理不善和类似问题导致缺陷的不断积累和其他技术债务
• 供应商问题：
o 第三方无法提供必要的产品或服务，或破产
o 合同问题给项目带来问题
项目风险既影响开发活动，也会影响测试活动。在某些情况下，项目经理负责处理所有项目风险，但测试经理负责与测试有关的项目风险并不少见。
5.5.3 基于风险的测试和产品质量
测试过程中通常根据风险来分配工作量。通过风险决定何时何地开始测试，并识别需要更多关注的领域。测试是用来降低不利事件发生的概率，或减少不利事件的影响。测试作为一种风险缓解活动，为已识别的风险提供反馈，并提供剩余（未解决）风险的反馈。
基于风险的测试方法为降低产品风险级别提供了积极主动的机会。它涉及产品风险分析，其中包括识别产品风险和评估每个风险的可能性和影响。获取的产品风险信息用于指导测试规划、规格说明、测试用例的准备和执行，以及测试监控。尽早分析产品风险有助于项目的成功。
在基于风险的方法中，产品风险分析的结果可用于：
• 确定应采用的测试技术
• 确定要进行的测试特定级别和类型（例如安全测试、辅助性测试）
• 确定要进行的测试范围
• 确定测试优先级，以尽早发现重要缺陷
• 确定除测试外是否还可采用其他活动来降低风险(例如：向缺乏经验的设计人员提供培训)
基于风险的测试利用项目利益相关者的集体知识和洞察力来进行产品风险分析。为确保尽量降低产品失效的可能性，风险管理活动提供了原则性的方法：
• 分析（并定期重新评估）哪些可能出错（风险）
• 确定哪些风险是重要的，需要处理
• 采取行动减轻这些风险
• 制定应急计划，以应对风险变成实际的事件
此外，测试还会识别新的风险，帮助确定应哪些风险应该缓解，并降低风险的不确定性。