代码安全检视方法有_代码覆盖率测试-分析未被覆盖的几种情况

最新推荐文章于 2021-01-08 13:11:07 发布
最新推荐文章于 2021-01-08 13:11:07 发布
阅读量471 收藏
点赞数
文章标签: 代码安全检视方法有
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30394975/article/details/112467687
版权

最近刚完成了B项目的接口自动化脚本开发。但是发现跑完脚本,覆盖度并未达到100%,为啥呢?明明所有接口都覆盖了呀。所以查一下原因。

先简要说一下测试步骤

1 修改项目底包(openjdk8-apm / jdk8-apm, tomcat8.5-openjdk8-apm/ tomcat8.5-jdk8-apm)-为插桩服务

2 PAAS上配置B项目环境变量CCT(CCT不为空),相当于启动覆盖测试。

3 在Jenkins上配置cct项目(导出报告用)。

4 被测应用发版(发版时自动插桩)

053b1db50ee7a0eb59ad9a57ddd1c736.png
Paas上发版

5 Jenkins上执行cct项目,导出覆盖度测试报告(此时覆盖度很低)

a2e49545a37522b8fff3ed7af9f1238f.png
跑脚本前的覆盖率

5 执行自动化脚本

6 再次执行cct项目,导出报告,会看到覆盖度增加,最重要的两个包,websitesystem,能够节省人力70%的回归工作量。重点关注指令覆盖,这个比较准。

0aba048c68a2e80a0a6490e79b2ee5de.png
跑脚本后的覆盖率

二 未覆盖到的代码找原因

7.1 exception异常代码。

7.2 部分业务逻辑脚本没覆盖。如 api下的CommonControler下的短信验证码,未测试图形验证码为空、图形验证码token为空、验证码类型为空的情况-------------需要维护脚本,把未覆盖的场景覆盖

737e73e3ba20ff82a1b34cc55f49cad7.png
业务逻辑未覆盖全

7.3 有的是代码没有调用到。如Util 类如下图

f4eb04c5bdb991d845d36a06192e3993.png
工具类代码未调用

7.4 有些是由于业务变更接口已废弃,但代码未删除。

0c7da0302e27bb865e369ff3befb2d23.png
接口已废弃代码未删除

7.5 有些代码是在数据库中数据有变动才会执行,无变化不执行。 -------------需要维护脚本,入参采用随机数

bd6705701c168d9db8f9b7f3653f70db.png
特定场景执行的代码

三 脚本优化后的显差

优化“提交接口”脚本,使入参为随机数,这样calculationMiddleIdi方法被调用(此方法代码行非常多),最后覆盖率达到88%(优化前13%)如图

f3742a7e9314ec1c54ae018ba0ef7586.png

总结:

代码覆盖率测试有其积极意义:

1 它能够帮助检视自动化脚本的成效,脚本开发人员测试点是否设计的足够全?一测便知

2 没被覆盖到的代码是哪些?脚本是否有改进空间? 一测便知

Minchern
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码
04-15
NULL 博文链接:https://mwhgjava.iteye.com/blog/1752760
在华为写了 13 年代码,都是宝贵的经验
weixin_44421461的博客
10-15 694
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析...
php 引用controller_基于PHP的代码安全审计方法研究与实践
weixin_39653717的博客
11-25 147
引用本文:陈艺夫.基于PHP的代码安全审计方法研究与实践[J].通信技术,2020,53(07):.摘 要随着互联网的普及,internet在人们生活中的作用日益凸显。而PHP是web互联网时代的编程语言主力军之一。与此同时,编程人员的安全意识不足,代码逻辑不合理等原因造成了各种各样的安全问题。但因此产生的网络安全事件却并没有让软件开发人员的网络安全意识与软件开发能力齐头并进,保持同水平的增长。形...
代码安全方法有_武汉地域SE沙龙第二期——安全代码review方法学习
weixin_35868872的博客
12-23 166
原标题:武汉地域SE沙龙第二期——安全代码review方法学习Part11继6月26日开展的SE第一期沙龙——安全编码TOP问题之后,武汉地域于7月11日晚19:00—20:30又开展了第二期SE沙龙,此次沙龙的主题是——安全代码review方法学习。 2此次给我们赋能的SE专家是流程IT业务线的SE专家——任泉。对于安全代码,我们的态度是认真的,我们的总目标是:发挥人工的长处,优先查边...
从Code Review 谈如何做技术
用法之妙,存乎一心。
04-12 1123
(这篇文章缘由我的微博,我想多说一些,有些杂乱,想到哪写到哪) 这两天,在微博上表达了一下Code Review的重要性。因为翻看了阿里内部的Review Board上的记录,从上面发现Code Review做得好的是一些比较偏技术的团队,而偏业务的技术团队基本上没有看到Code Review的记录。当然,这并不能说没有记录他们就没有做Code Review,于是,我就问了一下以前在业务团队
代码工具Gerrit的日常使用
01-27
Gerrit实际上一个Git服务器,它为在其服务器上托管的Git仓库提供一系列权限控制,以及一个用来做Code Review是Web前台页面。当然,其主要功能就是用来做CodeReview。 Email激活 Gerrit账户的设置界面,点击“Contact...
C/C++代码要点
01-31
代码技能属于开发人员的基本功,能够很大程度地反应出开发人员的能力水平,前面4.4.1节已经讲过提高评审方法。下面以实际的C/C++语言方面的代码来讲解代码的一些基本关注点和重点查的内容。从C/C++...
SECSEmulatorv.zip_BAD_HSMS-SECS_SECS_SECS-II_自动化测试
最新发布
07-15
ITRI CIM Emulator能够读取SML档案,主要功能是用来测试半导体设备的通讯功能,它支持SECS-I/SECS-II/HSMS-SS通讯协议,支持SML格式,具有强大易用的自动化测试功能,免安装即拷即用。 使用前需要先将RS232连接线接...
C/C++代码实例
01-31
下面就讲几个代码的实例,请读者在看这些实例时先不要看后面的分析,自己先拿张纸边看代码边把自己能够发现的问题记录下来,然后再和后面的分析进行比较。如果能够发现后现分析中没有提及的问题,说明已经将评审...
代码安全方法有_阿里巴巴专家教你如何在家安全高效开发软件
weixin_30569303的博客
12-15 173
为响应国家号召,各“大厂”纷纷发出在家办公、延迟上班的通知,一时间“在线协同办公”成为热点。不同于大型集团公司,有足够财力和能力构建远程办公系统,中小企业既缺乏足够的预算又缺乏相应的经验。阿里云云效一直致力于成为数字企业的研发效能引擎,在这个特殊时期,我们希望可以将自己的经验和工具分享给中小企业,让他们在家也能安全高效地开发软件。因此我们特别邀请了阿里巴巴高级技术专家张燎原,详解“在线协同开发”的...
代码安全方法有_代码在线,养成良好编程习惯
weixin_29602351的博客
01-08 281
HTML代码HTML代码在线网站规则配置如下:Standardtagname-lowercase 标签名必须小写attr-lowercase 属性小写attr-value-double-quotes 属性值双引号attr-value-not-empty 属性值不能为空attr-no-duplication 属性无重复attr-no-duplication <!DOCTYPE html...
代码安全方法有_WeAP敏捷团队-点位训练法之开发编码
weixin_29061041的博客
12-23 445
一、代码禁止使用异常规范。抛出非预期异常,会coredump,且gdb无错误信息。YES:void KVMap::SetValue(const string& key, int value);NO :void KVMap::SetValue(const string& key, int value) throw CException;第三方库先用类简易封装,再使用,特别涉及资源...
代码安全方法有_安全的操作步骤及方法
weixin_42514654的博客
12-23 540
(1)前部及发动机1、牌照、灯具要求:完整无损;清晰有效;安装牢固。2、后镜(完好、调整得当)3、散热器;无漏水,冷却水量充足4、润滑油:粘度正常、色清、无杂质(机油要求:①质量:色清、无杂质、粘度正常;②数量:在机油标尺刻度2/4-4/4间;5、高低线无松脱6、制动液液面高度正常7、蓄电池:清洁、无漏液、安装连接牢固。蓄电池要求:清洁、无漏液、安装连接牢固。液面高度高出极板10~15mm,通气...
代码访问安全(code-access security)
weixin_33989780的博客
08-01 335
  .NET 安全性 (security) 提供了两种安全模型,一个是code-access security (简称 CAS) ,另外一个是role-based security,前者是用来控制程序的行为,后者是用来控制使用者的行为。而本文讲的是CAS。 CAS让开发者和管理员可以实现对代码有权访问的那些资源进行精确的控制,它也被称为evidence-based security。 1....
代码安全方法有_Nervos CKB 已顺利完成代码安全审计
weixin_33525785的博客
01-08 114
2019 年第三季度,Nervos 基金会聘请了两家在业内领先的安全审计公司 Peckshield 和 Least Authority,对 Nervos CKB 进行了详细的代码审核,从而为 11 月 16 日即将上线的 CKB 主网「Lina」做好充足的准备。我们之所以聘请两支独立的审计团队对 CKB 代码进行,是因为不同的团队都有各自独特的审计方法,这样可以最大程度地发现关键性...
代码的一般步骤
砥安的博客
10-30 627
代码的一般步骤 (持续更新中) 数组大小是否足够? 函数有无return 或 throw? 读入是否快速(是否大于 10610^6106 )? 输入输出是否需要long long ? 存的是什么? 下表是什么?数组里面存的又是什么? 每个变量的含义是否清楚? 数组的下标从0还是1开始? 变量的初始化 了没(cnt,first[],ans等)? priority_queue默认的是大根堆...
代码规则(安全相关)
StepByStepTo的专栏
01-02 4458
看见运算,就查整数溢出。 看见Copy, 就查越界。 有字符串输入,就查命令注入。 看到打印信息,就查格式化攻击。 看到文件输入,就查利用路径。 看到加密算法,就查是否安全。 看到开源代码,就找历史漏洞。 看见用户名密码,就查硬编码。   入口数据不校验,污染就会传进来。 循环边界走不到,Deadloop就复位。 数组索引使用他,数组读写就越界。 Copy长度
程序分析与优化 - 2 控制流图.doc
07-13
本文是系列文章的第二章"程序分析与优化 - 2 控制流图",主要介绍了基于控制流图的一些优化方法。在这一章中,作者介绍了包括DAG、值标记、相同子表达式等方法在内的优化技术。此外,文章还介绍了llvm的一些基本概念...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值