Q-YF-QP-5.1-2011缺陷管理子过程

1、缺陷管理子过程缺陷管理子过程版本号版本号版本说明版本说明/ /变更理由变更理由/ /变更内容变更内容作者作者/ /日期日期审批人审批人/ /日期日期备注备注0.1创建文档袁培茹/201004221.0修改为标准格式，添加静态代码及单元测试等级定义袁培茹/2011-9-27林雪焰/2011-9-271.1修改缺陷来源、添加优先级、测试类型袁培茹/2012-1-16林雪焰/2012-1-161.2修改静态代码测试缺陷等级，分为 fortify和 checkmarx 进行描述，并填写了处理意见。袁培茹/2013-4-10侯鹏亮/2013-4-101.3修改缺陷状态处理部分袁培茹/2014-4-28侯

2、鹏亮/2013-4-28变更说明分为四个部分变更说明分为四个部分：初始创建；增加内容；修改；删除文件编号文件编号: : Q-YF-WI-5.1-2011密级：密级：公开使用 内部使用主管部门：主管部门：产品中心受控状态：受控状态：受控文件缺陷管理子过程 第 2 页 共 8 页目 录1目的目的.32缺陷管理缺陷管理.32.1总体流程图.32.2活动说明.32.2缺陷状态流转说明.43缺陷关键属性缺陷关键属性 .43.1缺陷状态.53.2缺陷等级.53.2.1系统测试缺陷等级.53.2.1单元测试缺陷等级.63.2.1静态代码测试缺陷等级.63.3缺陷来源.63.4新缺陷根源.63.5无效缺陷原因

3、 .63.6优先级.73.7测试类型.7缺陷管理子过程 第 3 页 共 8 页1目的目的 此文档对缺陷管理和缺陷等级进行了定义，详细说明了缺陷管理的流程和活动、缺陷等级的具体含义，目的在于规范测试和指导测试活动。2缺陷管理缺陷管理 本章节对缺陷管理的过程过程进行了介绍，以便指导具体测试工作的进行。2.12.1 总体流程图总体流程图提交缺陷开发确认缺陷修复缺陷是否修复验验证证和和确确认认缺缺陷陷结束开始是是是审批是否遗留审批是否为缺陷否是否否否是否2.22.2 活动说明活动说明活动名称活动名称操作人员操作人员具体活动具体活动提交缺陷测试人员发现缺陷后，填写缺陷报告，将缺陷分配给具体的开发人员，对

4、于不清楚缺陷该分配给谁修改的情况，可以分配给项目经理，由项目经理确认，缺陷状态默认为 Open。对于回归测试返现的新问题，需要选择“新缺陷根源新缺陷根源” ，当选择其他时，需要具体说明。开发确认缺陷开发人员对发现的缺陷进行确认，确认是否为缺陷，对于确认不是缺陷的进行拒绝处理，缺陷状态设置为 Reject，并写明拒绝的原因；确认是缺陷的进入进一步确认是否要修复活动。审批是否为缺陷技术经理/项目经理对开发拒绝 Reject 状态的缺陷，进行审批，审批通过状态不变。审批不通过分为三种情况：1）需要马上修复，重新打开缺陷，将缺陷状态处理为 Reopen.2）暂遗留可以后续版本修改，将缺陷状态处理为 L

5、eave3）遗留，将缺陷状态处理为 Delay。缺陷管理子过程 第 4 页 共 8 页是否修复开发人员对于确认为缺陷的进一步判定是否修复，对于确定不修复将缺陷处理为遗留状态 Leave，并写明具体修复版本，对于本发布版本不做修改的缺陷，需要写明建议处理 delay 状态，选择“缺陷来源” ，并写明遗留原因；对于确认要修复的，进入修改活动审批是否遗留技术经理/项目经理对遗留缺陷进行审批，审批通过的意见分为两种：1、暂遗留，缺陷状态不变。2、本发布版本遗留，将缺陷处理为 Delay。 确认“缺陷来源” ，缺陷处理流程结束；审批不通过的将缺陷处理为 Reopen，进入修复缺陷活动。修复缺陷开发人员对

6、缺陷进行修复，选择“缺陷来源” ，填写修复记录，将缺陷处理为Fixed 状态验证和确认缺陷测试人员1、对修复的缺陷进行验证,对于验证通过的填写确认意见，将缺陷处理为 Close 缺陷处理流程结束；对于确认缺陷还存在的将缺陷处理为Reopen。2、对对开发拒绝 Reject 状态的缺陷根据回复的意见进行进一步确认，确认结果是不是缺陷的处理为 Nobug，并选择“无效缺陷原因” ， 当选择其他时，需要具体说明缺陷处理过程结束；对于确认为缺陷，填写确认说明，状态处理为 Reopen.缺陷仲裁项目经理/产品负责人、质量管理部经理对测试和开发存在异议的缺陷（一般为是否为缺陷、是否能够遗留）进行仲裁。1、

7、是否为缺陷的仲裁：仲裁结果为是缺陷的，填写仲裁意见，将缺陷处理为 Reopen；仲裁结果为不是缺陷的，填写仲裁意见，将缺陷处理为 Nobug，缺陷处理过程结束。2、是否遗留的仲裁：仲裁结果为遗留，填写仲裁意见，缺陷状态不变；仲裁结果为不能遗留，写仲裁意见，将缺陷处理为 Reopen，缺陷处理过程结束。说明：当测试对象为项目时“仲裁是否为缺陷”和“审批是否遗留”的操作者为项目经理；当测试对象为产品时操作者为产品负责人和质量管理部经理。2.22.2 缺陷状态流转说明缺陷状态流转说明“绿色”标识为测试人员操作状态缺陷管理子过程 第 5 页 共 8 页OpenRejectDelayLeaveFixed

8、CloseRopenNobug结结束束开开始始3缺陷关键属性缺陷关键属性3.13.1 缺陷状态缺陷状态编号编号状态状态状态操作者状态操作者状态说明状态说明1Open-打开测试人员缺陷打开状态：新发现缺陷时状态2Leave-暂遗留开发人员缺陷暂遗留状态：在发布版本内需要修改，但是本测试版本中不修改。3Delay-遗留技术/项目经理缺陷遗留状态：在发布版本内部修改。4Fixed-修复开发人员缺陷修复状态：缺陷修复完的状态5Nobug-无效测试人员缺陷无效状态:无效缺陷。6Close-关闭测试人员缺陷关闭状态：缺陷修复正确的处理状态。7Reopen-重新打开测试人员,技术/项目经理缺陷重新打开状态：

9、缺陷仍然存在或仍需要处理的状态8Reject-拒绝开发人员缺陷拒绝状态：拒绝修复缺陷的状态。3.23.2 缺陷等级缺陷等级3.2.1 系统测试缺陷等级系统测试缺陷等级包括性能测试。编号编号缺陷等级缺陷等级详细说明详细说明1A-致命系统无法使用或给用户造成了损失、损害1主要功能没有实现或需求没有实现2导致操作系统死机、蓝屏、挂起或是程序非法退出缺陷管理子过程 第 6 页 共 8 页3用户数据丢失或损坏4服务不能正常提供，包括运行一段时间中止。5其他2B-严重严重影响系统使用的缺陷：1 主要功能部分不能够使用2 非主要功能没有实现3 系统响应速度。4内存溢出5连接不能有效释放6. 性能指标没有达到

10、预定目标。6其他。3C-一般轻度影响系统使用的缺陷：1 非主要功能部分不能够使用2 约束缺陷3 其他4D-轻微非功能性缺陷，不影响使用：1界面缺陷2易用性缺陷3其他5E-建议建议性缺陷3.2.1 单元测试缺陷等级单元测试缺陷等级编号编号缺陷等级缺陷等级详细说明详细说明1A-Critical致命2B-High严重3C-Medium一般4D-Low轻微5E-Warning警告3.2.1 静态代码测试缺陷等级静态代码测试缺陷等级Fortify 根据影响程度定义的等级：编号编号缺陷等级缺陷等级详细说明详细说明处理意见处理意见1Critical致命，致命影响，需要首先处理。2High严重，影响比较严重，

11、需要处理。3Medium一般，影响一般，可以有选择处理。全部处理，对于是问题需要修复，对于不是问题的需要说明原因。4Low轻微，一般为编程不规范造成。可以有选择的问题的进行修复处理。Checkmarx 等级定义：等级定义：编号编号缺陷等级缺陷等级详细说明详细说明处理意见处理意见1高（安全问题）利用可能性大，造成后果比较严重，如 SQL 注入和跨站等排在 OWASP Top10 前面的漏洞。2中（安全漏洞利用可能性或造成的后果相对较小，但一旦全部处理，对于是问题需要修复，对于不是问题的需要说明原因。缺陷管理子过程 第 7 页 共 8 页问题）被利用，同样可以造成比较大的风险，如参数篡改3低（安全

12、问题）漏洞利用难度较大或造成的后果影响较小。如潜在的 SQL 注入和使用较弱的加密算法。4信息（质量问题）错误的代码编写或不好的编程习惯。如：错误的字符串比较方式，if else 语句没有使用大括号可以有选择的问题的进行修复处理。安全问题的严重性主要是从几个方面去考虑： 1. 漏洞利用的难度性。 2. 造成后果的严重性。 3. 目前出现的频率。3.3 缺陷来源缺陷来源编号编号缺陷来源缺陷来源描述描述1产品需求2软件需求由于需求的引起缺陷3概要设计4详细设计由于设计引起的缺陷5编码实现由于编码本身引起的缺陷3.43.4 新缺陷根源新缺陷根源用于回归测试发现新缺陷填写：编号编号新缺陷根源新缺陷根源描述描述1漏测试测试人员原因，需求分析不全，没有考虑周全导致新缺陷出现。2新需求3修改缺陷引起4环境差异5其他3.53.5 无效缺陷原因无效缺陷原因编号编号无效缺陷原因无效缺陷原因描述描述1理解错误测试人员个人原因，对测试系统业务没有理解清楚，导致提出的缺陷无效2需求变更需求变更没有通知测试人员，导致提出缺陷无效3设计变更设计变更没有通知测试人员，导致提出缺陷无效4重复缺陷缺陷已经存在，重复提交缺陷5其他3.63.6 优先级优先级缺陷处理的优先级。编号编号优先级优先级描述描述11-低可以在方便时修复22-中正常排队等待修复缺陷管理子过程