执行认证测试
伙伴测试工程师请参照解决方案工作台的测试用例步骤进行测试并将测试结果录入解决方案工作台,在提交报告审核之前闭环所有遗留问题。
执行手工测试用例
操作步骤
- 伙伴测试工程师登录解决方案工作台,进入空间,点击“验证中心”->“用例管理”->“执行”,执行测试用例。
图1 执行测试用例入口
如果需要变更用例执行人,可以点击用例管理界面右下角的“变更用例执行人”,新增用例执行人(待增加的处理人需要在空间中才能新增)。
- 执行测试用例,此处以“业务功能测试”用例的执行举例。
- 实际结果:需要填写文字描述及截图来佐证,文字描述一般是对截图的说明,方便报告评审人理解截图的意思(“访谈类”和执行结果为“不涉及”的用例,可不提供截图);截图支持在“实际结果”的输入框直接粘贴截图的图片,请按照用例步骤提供对应的截图;截图需要截大图,带右下角的时间,如果有敏感信息可以脱敏。
- 备注:对执行步骤结果的说明,非必填。
- 执行附件:上传对执行结果进行说明的文件,一般无需上传。
- 用例状态:下拉框有“待执行”,“执行中”,“执行完毕”三种状态可选择,根据实际情况选择。
- 执行结果:下拉框有“通过”,“不通过”,“不涉及”,“带条件通过”四种选项可选择,根据实际执行结果选择。
- 结果备注:对整个用例执行结果的说明,非必填。
图2 “业务功能测试”执行参考
- 点击“确认”,用例执行完成。返回用例列表,可以看到用例的测试结果为“通过”状态。
图3 用例执行通过
手工用例执行结果参考
大部分手工测试用例都有在用例的“预期结果”中有对应的截图参考,如果您执行测试用例时不知道该提供哪些截图,可以查看参考截图,并结合自己的系统提供对应的截图。
- 以查看“服务控制测试”的“服务过期约束”这条测试用例的截图参考举例。
首先点击“服务控制测试”--》找到“服务过期约束”这条用例--》“执行”。
- 进入用例执行页面,可以看到“预期结果”下方有“预期结果截图参考”。
- 如果想要查看大图,您可以单击“预期结果”下面的文字框,查看详情;查看完成后点击右上角的“关闭”按钮回到测试用例执行页面,并根据“预期结果截图参考”执行您的用例。
执行性能自动化用例
找到需要执行的性能用例,点击“性能自动化”--》“执行”。
- 进入性能用例的详情页面,点击“操作”下拉按钮,选择“运行脚本”。
- 可以看到“执行”的弹窗页面。根据您本次架构部署的形式,采用不同的操作方式。
- 若本次架构的部署形式为CCE部署,点击参考CCE部署的场景。
- 若本次架构的部署形式为Kubernetes集群部署,点击参考Kubernetes集群部署。
- 如果您本次认证方案架构的ECS是非CCE和Kubernetes集群部署的情况,继续按照下方的步骤指导操作即可。
您需要打开“自动获取CPU/内存数据”的开关,然后点击“添加机器”按钮。
在“添加机器”的弹窗页面,您需要选择本次方案部署的云服务器所在的区域,并在本次需要读取CPU和内存的ECS的名称前面勾选,无误后点击下图中的2个“确认”按钮,开始执行CPTS配置的压测脚本。
- 执行结束后,可以在页面查看执行的状态是否通过(下方“不通过”截图为举例说明,认证测试要求状态为“通过”)。
在“手工测试步骤”,系统会自动将压测的“实际结果”的截图生成到对应的步骤中。
- 当压测结果满足本次测试要求后,在操作步骤的下方,点击“用例状态”的下拉框,选择状态为“执行完毕”,执行结果选择“通过”,则用例执行完成。
- 在用例列表的页面,可以看到执行的用例的状态和执行结果。
若本次认证方案架构的ECS未使用CCE部署,则不能够按照上述操作方式自动获取压测期间的CPU与内存截图。以下对使用CCE和Kubernetes集群的场景分别说明,您可以根据本次实际部署场景选择查看。
- 对于CCE的场景,如需要通过华为云 AOM控制台(旧版)-总览-仪表盘-添加数据指标-曲线图-下一步,
图13 AOM创建仪表盘
- 然后在左侧选择需要监控的容器内的组件名称(可对选),在右侧可选择需要监控的指标,一般性能测试就是监控“物理内存使用率”和“CPU使用率”这两个指标。仪表盘创建成功后,去执行性能用例后,用例执行完成后返回仪表盘根据压测时间筛选所需要的时间段的报告截图即可。
图14 添加仪表盘的指标和容器组件
自建的Kubernetes容器,监控CPU和内存使用率,需要伙伴自建Prometheus Server,和华为云AOM云服务对接。
创建Remote Write Prometheus实例:点击参考操作指导。
工作负载监控:点击参考操作指导。
执行安全自动化用例
- 安全自动化测试用例包含“Web扫描(网站扫描)”、“主机扫描”、“二进制扫描”三类,。
Web扫描的操作指导点击参考:Web扫描。
主机扫描的操作指导点击参考:主机扫描。
二进制扫描的操作指导点击参考:二进制扫描。
- 安全自动化常见问题可参考安全扫描类FAQ。
不同类型的手工测试用例执行结果要求如下:
- “性能自动化用例”:分为自动化的步骤和手工的步骤,执行完自动化的步骤再执行手工的步骤,按照手工的测试步骤描述提供截图和截图的文字描述。
- “安全用例”:每条安全用例都要提供截图和截图的文字描述(“访谈类”和执行结果为“不涉及”的用例只需在“实际结果”使用文字描述即可);工具扫描需要满足安全指标的要求。
- “可靠性用例”:每条可靠性测试用例都要在实际结果上传截图和截图的文字描述。
“二进制扫描”漏洞处理
关于“二进制扫描”漏洞的修改,您可以参考以下几点建议来进行处理。
- 由于扫描工具存在一定的误报概率,对怀疑为误报的漏洞参考“服务依赖组件漏洞分析表”中的“漏洞误报分析”进行误报分析。分析结果通过华为扫描工具工程师确认为误报的可不处理。
- 将漏洞组件升级到最新版本。
- 产品版本打包时排除未使用的组件;容器镜像选择使用安全的基础镜像,只包含应用运行时依赖的组件。
- 将长期无人维护的开源组件替换为功能类似活跃度更高的安全组件。
- 对于没有可用升级版本的,参考“服务依赖组件漏洞分析表”中的“漏洞处理分析”进行漏洞处理分析。需根据漏洞原理分析漏洞触发场景、出现漏洞的影响,对产品受影响的场景需采取有效规避措施,测试完成前不能整改的需给出整改计划。分析结果通过华为安全工程师评审后归档保存。
- “服务依赖组件漏洞分析”表提供了填写说明和填写模板供您填写前参考。
- 漏洞处理分析需要由熟悉产品内部运行过程的人员结合漏洞触发场景完成。