一、单元测试
- 好的单元测试必须遵守AIR原则。A:Automatic(自动化)I:Independent(独立性)R:Repeatable(可重复)。
- 单元测试应该是全自动执行的,并且非交互式的。测试用例通常是被定期执行的,执行过程必须完全自动化才有意义。单元测试中不使用System.out来进行人肉验证,使用assert来验证。
- 保持单元测试的独立性。为了保证单元测试稳定可靠且便于维护,单元测试用例之间决不能互相调用,也不能依赖执行的先后次序。
- 单元测试是可以重复执行的,不能受到外界环境的影响。为了不受外界环境影响,要求设计代码时就把SUT的依赖改成注入,在测试时用spring这样的DI框架注入一个本地(内存)实现或者Mock实现。
- 单元测试,要保证测试粒度足够小,有助于精确定位问题。单测粒度至多是类级别,一般是方法级别。
- 核心业务、核心应用、核心模块的增量代码确保单元测试通过。
- 单元测试代码必须写在如下工程目录:src/test/java,不允许写在业务代码目录下。源码编译时会跳过此目录,而单元测试框架默认是扫描此目录。
- 单元测试的基本目标:语句覆盖率达到70%;核心模块的语句覆盖率和分支覆盖率都要达到100%。DAO层,Manager层,可重用度高的Service,都应该进行单元测试。
- 编写单元测试代码遵守BCDE原则,以保证被测试模块的交付质量。B:Border,边界值测试,包括循环边界、特殊取值、特殊时间点、数据顺序等。C:Correct,正确的输入,并得到预期的结果。D:Design,与设计文档相结合,来编写单元测试。E:Error,强制错误信息输入(如:非法数据、异常流程、业务允许外等),并得到预期的结果。
- 对于数据库相关的查询,更新,删除等操作,不能假设数据库里的数据是存在的,或者直接操作数据库把数据插入进去,请使用程序插入或者导入数据的方式来准备数据。
- 和数据库相关的单元测试,可以设定自动回滚机制,不给数据库造成脏数据。或者对单元测试产生的数据有明确的前后缀标识。
- 对于不可测的代码在适当的时机做必要的重构,使代码变得可测,避免为了达到测试要求而书写不规范测试代码。
- 在设计评审阶段,开发人员需要和测试人员一起确定单元测试范围,单元测试最好覆盖所有测试用例。
- 单元测试作为一种质量保障手段,在项目提测前完成单元测试,不建议项目发布后补充单元测试用例。
- 为了更方便地进行单元测试,业务代码应避免以下情况:构造方法中做的事情过多。存在过多的全局变量和静态方法。存在过多的外部依赖。存在过多的条件语句。多层条件语句建议使用卫语句、策略模式、状态模式等方式重构。
二、安全规约
- 隶属于用户个人的页面或者功能必须进行权限控制校验。
- 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。
- 用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定,防止SQL注入,禁止字符串拼接SQL访问数据库。
- 用户请求传入的任何参数必须做有效性验证。忽略参数校验可能导致:page size过大导致内存溢出;恶意order by导致数据库慢查询;任意重定向;SQL注入;反序列化注入;正则输入源串拒绝服务ReDoS。
- 禁止向HTML页面输出未经安全过滤或未正确转义的用户数据。
- 表单、AJAX提交必须执行CSRF安全验证。(CSRF(Cross-site requestforgery)跨站请求伪造是一类常见编程漏洞。对于存在CSRF漏洞的应用/网站,攻击者可以事先构造好URL,只要受害者用户一访问,后台便在用户不知情的情况下对数据库中用户参数进行相应修改。)
- 在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放的机制,如数量限制、疲劳度控制、验证码校验,避免被滥刷而导致资损。
- 发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词过滤等风控策略。
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
