做手機應用軟件測試的要點是什么？(2)

6、兼容性測試：也就是不同品牌、款型的手機（針對目前我們產品來說，主要是針對不同品牌、款型的手機上的測試），不同網絡，不同品牌和不同容量大小的SIM卡之間的互相兼容的測試。不同型號的手機支持的圖片格式、聲音格式、動畫格式不一樣，需要選擇盡可能通用的格式，或者針對不同的型號進行配置選擇。以短消息為例：中國電信的小靈通接收到從中國移動或中國聯通GSM發來的短消息，需要驗證顯示和回復功能是否正常等。再比如，應用軟件分別在OPPO R7、OPPO A3手機上運行，各功能是否均能正常使用，界面是否均顯示正常等。

7、易用性/用戶體驗測試：易用性（Useability）/用戶體驗是指在指定條件下使用時，軟件產品被理解、學習、使用和吸引用戶的能力，是交互的適應性、功能性和有效性的集中體現。手機操作主要依賴拇指，所以交互過程中不能設計的太復雜，交互步驟不能太多，應該盡量設計多點快捷方式，易用是對終端軟件（推而廣之是交互類軟件）最基本、最重要的要求。不好用的軟件很難吸引用戶，更別提提升用戶對軟件的忠誠度了。易用性體現在：所見即所得、一用便知、一學就會，方便快捷的完成預期功能。易用的軟件能讓一個新用戶快速學習、使用我們的軟件，并在使用軟件過程中體現我們的貼心服務，超出用戶預期的體現是我們追求的目標。

8、暴力測試：斷電，重啟，斷網等意外情況發生時，處理是否正確

二、安全性測試

（1）安全性測試方法
有許多的測試手段可以進行安全性測試，目前主要安全測試方法有：
①靜態的代碼安全測試：主要通過對源代碼進行安全掃描，根據程序中數據流、控制流、語義等信息與其特有軟件安全規則庫進行匹對，從中找出代碼中潛在的安全漏洞。靜態的源代碼安全測試是非常有用的方法，它可以在編碼階段找出所有可能存在安全風險的代碼，這樣開發人員可以在早期解決潛在的安全問題。而正因為如此，靜態代碼測試比較適用于早期的代碼開發階段，而不是測試階段。
②動態的滲透測試：滲透測試也是常用的安全測試方法。是使用自動化工具或者人工的方法模擬黑客的輸入，對應用系統進行攻擊性測試，從中找出運行時刻所存在的安全漏洞。這種測試的特點就是真實有效，一般找出來的問題都是正確的，也是較為嚴重的。但滲透測試一個致命的缺點是模擬的測試數據只能到達有限的測試點，覆蓋率很低。
③程序數據掃描。一個有高安全性需求的軟件，在運行過程中數據是不能遭到破壞的，否則就會導致緩沖區溢出類型的攻擊。數據掃描的手段通常是進行內存測試，內存測試可以發現許多諸如緩沖區溢出之類的漏洞，而這類漏洞使用除此之外的測試手段都難以發現。例如，對軟件運行時的內存信息進行掃描，看是否存在一些導致隱患的信息，當然這需要專門的工具來進行驗證，手工做是比較困難的。
（2）反向安全性測試過程
大部分軟件的安全測試都是依據缺陷空間反向設計原則來進行的，即事先檢查哪些地方可能存在安全隱患，然后針對這些可能的隱患進行測試。因此，反向測試過程是從缺陷空間出發，建立缺陷威脅模型，通過威脅模型來尋找入侵點，對入侵點進行已知漏洞的掃描測試。好處是可以對已知的缺陷進行分析，避免軟件里存在已知類型的缺陷，但是對未知的攻擊手段和方法通常會無能為力。
①建立缺陷威脅模型。建立缺陷威脅模型主要是從已知的安全漏洞入手，檢查軟件中是否存在已知的漏洞。建立威脅模型時，需要先確定軟件牽涉到哪些專業領域，再根據各個專業領域所遇到的攻擊手段來進行建模。
②尋找和掃描入侵點。檢查威脅模型里的哪些缺陷可能在本軟件中發生，再將可能發生的威脅納入入侵點矩陣進行管理。如果有成熟的漏洞掃描工具，那么直接使用漏洞掃描工具進行掃描，然后將發現的可疑問題納入入侵點矩陣進行管理。

原文轉自：http://blog.it985.com/17722.html