2025软件测试技术规范

目录 1 31范围 32规范性引用文件 33术语和定义(或分类与型号等)(有此要求的) 33.1应用管理职能 43.2符合性评价报告 43.3COTS 43.4功能 43.5产品说明 53.6需求文档 53.7测试文档集 53.8测试环境 53.9测试目标 53.10测试计划 53.11 54.1 54.1.2 54.1.3 55 61)前期调研 62)检测规划 63)制定测试方案 64)设计测试用例 75)准备检测环境 76)搭建测试工具 76 7系统功能检测 73.按钮功能检查 84.字符串长度检查 85.字符类型检查 88.检查信息的完整性 811.检查添加和修改是否一致 813.搜索检查 914.上传下载文件检查 915.必填项检查 916. 918.直接URL链接检查 920.用户检查 921.密码检查 923.数据注入检查 924.事务检查 10系统易用性检测易用性测试重点包括：易理解程度 10 10用户界面 10 10系统可维护检测 10系统兼容性检测 9系统的性能检测 9系统安全性检测 101. 107)安装配置检测 118)系统可靠性检测 119)系统可移植性检测 1110)用户文档集检测 122.内容：用户文档集包括的功能应是可测试的或可验证的。 124. 12用户文档集中的各文档不应自相矛盾、互相矛盾以及与产品说明矛盾 127.易理解性 128.产品质量-功能性 1211.产品质量-易用性/易操作性 1313.产品质量-信息安全性 137 13a、数据计算错误 133 141范围本标准规定了软件检测的要求，试验方法，检测规则等。本标准适用于软件工程检测，包括系统功能检测、系统易用性检测、系统可维护检测、系统兼容性检测、系统性能检测、系统安全性检测、安装配置检测、系统可靠性检测、系统可移植性检测、用户文档集检测。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。3术语和定义(或分类与型号等)(有此要求的)应用管理职能由用户履行的职能，包括安装、配置、应用备份、维护(修补及升级)和卸载。符合性评价报告说明对软件产品实施评价的行为和结果的文档。COTS由市场驱动的需要而定义的、通过商业方式提供的、其适用性已经得到各类商业用户证实的商业现货软件。注1:软件产品包括：-产品说明(包括全部封面信息、数据表、网站信息等);一用户文档集(安装和使用该软件必需的);注2:该定义改写自GB/T18905.4-2002。注3:软件主要由程序和数据组成。注4:该定义也适用于可作为分别研制的物品而生产或支持的产品说明、用户文档集和软件，但对于癫痫的商业费用和许可考虑，该定义也许不适用。功能软件中一个算法的实现，最终用户或软件可以执行某一工作任务的部分或全部内容。注：功能不一定是最终用户可调用的(例如：数据的自动备份保存)。产品说明陈述软件各种性质的文档，其主要目的是帮助潜在的需方再采购前对该软件进行适用性评价。需求文档包含COTS软件产品要满足的要求或规则的任何组合的文档。例如，这些文档可以是技术报告、标准、针对某类用户的要求列表(或模型需求规格说明),或者是行政或管理机构颁发的条例或法规。测试文档集测试活动特有的文档汇集。测试环境执行测试用例所必需的硬件和软件配置。测试目标在规定的条件下，待测量的已标识的软件特征的集合，它通过将实际的行为与要求的行为进行比较而测量。注：该条改写自GB/T11457测试计划说明预期的测试活动的范围、途径、资源和进度的文档。测试执行条件的说明(即测试规程)。源自其他标准的附加术语和定义参见附录A。4测试文档集的目的是证实软件与5.3中规定的要求的符合性。其中包含允许作这种证实的全部元素。测试文档集中的每个文档所包含的信息应是正确的并且是可验证的。测试文档集中的每个文档不应子项矛盾，并且不应与产品说明和用户文档集矛盾。测试文档集一般应包含：a)测试计划；b)测试说明c)测试结果(报告)。测试文档集应包含组成该汇集的全部文档清单，清单中应包含全部文档的标题及其标识符。测试文档集中的每个文档都应包括：--标题；--单一的标识符(引用、版本号、发布日期);--修改历史，或说明该文档演变的任何其他元素；--目次或对内容的说明；--该文档正文中引用的文档的标识符；--有关作者和审查者的信息；--术语表。测试温昂及可由一个文档或多个文档组成。5前期调研此阶段的主要工作是前期协调和资料收集，包括：明确参与检测各方的工作职责和关系，对检测工作目标达成共识；通过全面的前期调研，了解检测所需软硬件情况，掌握待测软件在功能、检测规划针对前期的调研结果，根据用户需求、软件系统业务架构、技术架构等信息规划检测的细节项目和操作方法，确定检测计划。制定测试方案--根据该软件系统的基本功能，确定测试的具体内容；--对测试内容进行评审，制定测试需求；--根据测试需求，识别不同的测试过程以及测试条件，针对每个测试过程规定测试数据的数量并对其特征进行规定，即对测试用例进行描述；--综合有关内容，确定阶段目标，并形成测试方案；--对测试方案进行评审、修改，直至测试方案获得批准；设计测试用例--根据测试方案，按测试意图对每一个测试点分别设计在不同情况下的测试动作、输入和预期--形成测试用例列表；--对测试用例列表的覆盖度进行检查，完善后形成测试用例；准备检测环境为确保测试执行得以顺利进行，有关测试环境方面的准备活动包括：--准备硬件设备；--获得测试硬件、软件环境搭建指导说明；--搭建测试硬、软件环境；--配置网络环境；搭建测试工具根据测试类型选定测试工具。性能测试需用到工具LoadRunner,是一种预测系统行为和性能的负载测试工具。通过以模拟上千万用户实施并发负载及实时性能监测的方式来确认和查找问题，LoadRunner能够对整个企业架构进行测试。LoadRunner可适用于各种体系架构的自动负载测试，能预测系统行为并评估系统性能。6具体检测的主要内容有：系统功能检测功能测试应侧重于所有可直接追踪到用例或业务功能和业务规则的测试需求。测试的目标是核实数据的接收、处理和检索是否正确，以及业务规则的实施是否恰当。测试基于黑盒技术，通过图形用户界面(GUI)与应用程序进行交互，并对交互的输出或结果进行分析，并以此来核实应用程序及其内部进程。检测要点如下：1.页面链接检查每一个链接是否都有对应的页面，并且页面之间切换正确；2.相关性检查功能相关性：删除或增加一项会不会对其他项产生影响，如果产生影响，这些影响是否都正确；数据相关性：下拉列表默认值检查，下拉列表数值检查，如果某个列表的数据项依赖于其他模块中的数据，则是否可见；按钮功能检查如新建、编辑、删除、关闭、返回、保存、导入，上一页，下一页，页面跳转，重置等功能字符串长度检查输入不符合(超出或小于)需求所说明的字符串长度的内容，系统是否检查字符串长度；检查需求规定的字符串长度是否是合理，能否输入业务数据；字符类型检查在指定类型的地方输入其他类型的内容，系统是否检查字符类型；6.标点符号检查输入内容包括各种标点符号，系统处理是否正确；7.特殊字符检查输入特殊符号，系统处理是否正确；在可以输入中、英文的系统中输入中文，系统是否出现8.检查信息的完整性查看信息和更新信息时，查看所填写的信息是不是全部更新，更新信息和添加信息是否一致；9.信息重复在一些需要命名，且名字应该唯一的地方输入重复的名字或ID,系统有没有处理，会否报错，重名包括是否区分大小写，以及在输入内容的前后输入空格，系统是否作出正确处理；10.检查删除功能在一些可以一次删除多个信息的地方，不选择任何信息，点击删除，系统能否正确处理，会否出错；选择一个和多个信息，进行删除，系统是否正确处理。如果有多页，翻页选，系统是否都正确删除，删除的时候是否有提示；11.检查添加和修改是否一致检查添加和修改信息的要求是否一致；12.重复提交表单一条已经成功提交的纪录，返回后再次提交，系统是否做了处理；搜索检查在有搜索功能的地方输入系统存在和不存在的内容，系统搜索结果是否正确；输入多个搜索条件，同时添加合理和不合理的条件，系统处理是否正确；上传下载文件检查上传下载文件的功能是否实现，上传下载文件是否能正确打开；对上传文件的格式有何规定，系统是否有解释信息，并检查系统是否能够做到；下载文件能否打开和保存，下载的文件会不会产生格式变化，是否有格式要求，如需要特殊工具才可以打开等；将不能上传的文件后缀名修改为可以上传文件的后缀名，是否能够上传成功，上传文件后，重新修改，上传的文件是否存在；必填项检查应该填写的项没有填写时系统是否都做了处理，对必填项是否有提示信息；对必填项提示返回后，焦点是否会自动定位到必填项；是否支持快捷键操作，快捷键处理的结果是否与正常操作一致；17.刷新键检查使用浏览器的刷新键，系统处理如何；18.直接URL链接检查直接输入各功能页面的URL地址，系统如何处理；19.输入法半角全角检查在输入信息项中，输入半角或全角的信息，系统如何处理；20.用户检查检查各个管理员之间是否可以相互管理，编辑、删除管理员用户；检查用户的有效日期，过了有效日期的用户是否能登录系统；用户被注销后，再次注册同名用户时，系统是否把其作为一个新的用户；21.密码检查检查密码是否允许为空，系统密码位数有无限制；系统密码加密方式能否正确解析特殊密码，系统有无相关提示；22.系统数据检查检查数据是否随业务过程、状态的变化而变化；23.数据注入检查通过对数据库输入一些特殊的字符，完成对SQL语句的破坏，造成系统在执行查询、插入、24.事务检查对于事务性操作，断开网络或关闭程序来中断操作，事务是否回滚，数据信息是否发生变化；系统易用性检测易用性测试重点包括：易理解程度程序的问题、消息和结果通过适当的术语、图形、背景信息和帮助，可以帮助用户正确理解系出错消息应提供解释相应差错产生原因和纠正办法的详细信息；数据媒体具有产品标识，可辨别编号和文本；具有必要的信息，指导用户使用程序；输入、输出设计清楚易于浏览；能够清楚的知道当前用户所处状态；用户界面进行的浏览可正确反映业务的功能和需求，这种浏览包括窗口与窗口之间、字段与字段之间的浏览，以及各种访问方法(Tab键、鼠标移动、和快捷键)的使用；窗口的对象和特征(例如，菜单、大小、位置、状态和中心)都符合标准；对具有严重后果的操作给出明显警告，并要求执行前确认；系统支持标准的鼠标、键盘操作，支持鼠标的单击、双击和右键操作，支持快捷键操作；系统可维护检测软件的可维护性是指维护人员为纠正软件系统出现的错误或缺陷，以及为满足新的要求而理解、修改和完善软件系统的难易程度。提高可维护性是决定软件工程方法论所有步骤的关键目标。可维护性测试重点包括：可理解性：可理解性被定义为人们通过阅读源代码和相关文档了解软件系统的结构、接口、功能、内部过程以及如何运行的难易程度。一个可理解的系统应具备如下一些特性：程序设计风格的一致性；不使用令人捉摸不定或含糊不清的代码；使用有意义的数据名和过程名、采用结构化的程序设计方；可测试性：可测试性被定义为诊断和测试系统的难易程度。一个可测试的系统应具备下列特具有模块化和良好的结构；具有可理解性、具有可靠性；能显示任意的中间结果；以清楚的描述方式说明系统的输出；能根据要求显示所有的输入、能跟踪及显示逻辑控制流程、能适应软件开发每一阶段结束的检查要求、能显示带说明的错误信息；可修改性可修改性表明程序容易修改的程度。一个可修改的程序应当是可理解的、通用的、灵活的、简单的。其中，通用性是指程序适用于各种功能变化而无需修改。灵活性是指能够容易地对程序可移植性可移植性表明程序转移到一个新的计算环境的可能性的大小，或者表明程序可以容易地、有效地在各种各样的计算环境中运行的容易程度。一个可移植的程序应具有结构良好、灵活、不依赖于某一具体计算机或操作系统的性能；系统兼容性检测对于本软件和各种常用软件的基本组合，所有事务都成功完成，没有出现任何故障。在不同操作系统下系统的运行情况。主要包括与操作系统的兼容性、与数据库的兼容性、与中间件的兼容性、与浏览器的兼容性、与其他软件的兼容性。系统的性能检测性能评测主要测试以下要点：数据操作的响应时间；数据操作时资源的占用率；数据操作时网络的利用率；时间特性：产品或系统执行其功能时，其响应时间、处理时间及吞吐率满足需求的程度；资源利用性：产品或者系统执行其功能时，所使用资源数量和类型满足需求的程度；容量：产品或系统参数的最大限量满足需求的程度；系统安全性检测安全性测试重点包括：产品或系统保护信息和数据的程度，以使用户、其他产品或系统具有与其授权类型和授权级别一致的数据访问度。应用程序级别的安全性：核实用户只能访问其所属用户类型已被授权访问的那些功能或数据；系统级别的安全性：核实只有具备系统和应用程序访问权限的用户才能访问系统和应用程序；保密性：产品或者系统确保数据只有在被授权时才能被访问的程度；完整性：系统、产品或组件防止未授权访问、篡改计算机程序或数据的程度；抗抵赖性：活动或事件发生后可以被证实且不可被否认的程度；可核查性：实体的活动可以被唯一地追溯到该实体的程度；真实性：对象或资源的身份标识能够被证实符合其声明的程度；主要测试工具：明鉴远程安全评估系 具体操作使用详见"明鉴远程安全评估系统操作使用明鉴远程安全评估系统进行漏洞扫描，扫描结果有如以下情况：HTTP响应分割：CR、LE分别对应回车(%0d)、换行(%0a)字符。HTTP头由很多被CRLF组合分离的行构成，每行的结构都是"键：值";LDAP注入：通过TCP/IP查询和修改目录服务的协议；SQL注入：通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令；SSI注入：即服务端包含注入，用于动态页面的指令。SSI注入允许远程在WebURL重定向器滥用：某个HTTP参数被发现保存有URL值，并导致Web应用程序将请求重定向至指定的URL;XML实体扩展：通过消耗目标程序的服务器环境来进行DOS攻击；XML外部实体注入：当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害；Xpath注入：利用XPath解析器的松散输入和容错特性，能够在URL、表单或其它信息上附带恶意的XPath查询代码，以获得权限信息的访问权并更改这些信息；注：在使用该产品测试时，应及时的记录，并在归还时由设备管理员进行检查登记。安装配置检测安装测试主要包括以下三个方面：确保该软件在正常情况和异常情况的不同条件下，例如进行首次安装、升级、完整的或自定义的安装，都能进行安装。异常情况包括磁盘空间不足、缺少目录创建权限、已安装又再次安装等，应给出相应指导和提示；软件可以正常删除，删除后可重新安装。系统可靠性检测可靠性测试重点包括：系统对用户错误登录的次数限制；错误是否导致系统异常退出；数据备份与恢复手段；网络故障对系统的影响；系统可移植性检测可移植性性测试重点包括：用户文档集检测用户文档集一般是指需求文件、详细设计文件、概要设计文件、用户手册等文件；1.可用性：用户文档集对于该产品的用户应是可用的。内容：用户文档集包括的功能应是可测试的或可验证的。标识和标示：用户文档集应显示唯一的标识。RUSP应以其产品标识指称。用户文档集应包含供方的名称和邮政或网络地址。用户文档集应标识该软件能完成的预期工作任务和服务。①用户文档集应包含使用该软件必须的信息。②用户文档集应说明在产品说明钟陈述的所有功能以及最终用户能调用的所有功能。③用户文档集应列出已处理处置、会引起应用系统失效或终止的差错和缺陷，特别是列出那些最终导致数据丢失的应用系统终止的情况。④用户文档集应给出必要数据的备份和恢复指南。⑤对于所有关键的软件功能，用户文档集应提供完备的指导信息和参考信息。⑥用户文档集应陈述安装所要求的最小磁盘空间。⑦对用户要执行的应用管理职能，用户文档集应包括所有必要的信息。⑧如果用户文档集分若干部分提供，在该集合中至少有一处应标识出所有的部分。5.正确性①用户文档集中的所有信息对主要的目标用户应是恰当的。②用户文档集不应有歧义的信息。6.一致性用户文档集中的各文档不应自相矛盾、互相矛盾以及与产品说明矛盾7.易理解性①用户文档集应采用该软件特定堵住可理解的术语和文体，使其容易被RUSP主要针对的最终用户群理解。②应通过经编排的文档清单为理解用户文档集