測試策略描述了組織的通用測試方法,通常作爲項目測試活動的起點。典型的測試策略包括通用產品風險(影響產品質量的風險,也稱爲質量風險)和項目風險(影響項目成功的風險,也稱爲管理風險)、測試級別的描述(例如:單元、集成、系統和驗收測試等)和測試相關的概要活動(例如:定義測試目標、角色和職責、主要任務、入口準則和出口準則等)。制訂測試策略的第一步是對軟件產品進行分析以開展通用風險的評估,並基於評估結果,提出符合測試方針的應對措施以緩解風險。
本文將以產品風險爲例,和大家聊聊通用產品風險評估相關的主要測試實踐。需要注意的是,本文並不是完整講解風險管理的過程,只是截取了與過程域“建立測試策略”相關的通用產品風險的子實踐。將其歸類爲2個部分:
1、識別風險
2、評估風險
一、識別風險
風險識別主要確定在軟件開發生命週期中存在哪些產品風險,並以文檔的形式進行記錄。爲了更好地開展風險識別實踐,需要識別和選擇合適的干係人蔘與這個過程。有時候,有些干係人需要扮演代理人的角色,即你無法直接邀請到這些干係人。例如:在針對大衆市場的軟件開發過程中,只能邀請部分潛在的用戶作爲大衆市場的樣本,以他們爲代表識別軟件產品中的產品風險。
根據組織、項目和產品的特點不同,可採用的風險識別方法也會有所不同。常見的風險識別技術,例如:頭腦風暴法、專家諮詢、風險模板、問卷調查表、風險檢查表等,這些技術在實踐過程中常常會結合在一起使用,例如在風險檢查表基礎之上開展頭腦風暴。下面是基於問卷調查表的一個例子。
二、評估風險
評估風險階段,其主要目的是確定風險的分類和分組、可能性和嚴重程度、確定風險優先級、跟蹤風險的責任人等。
假如在風險識別過程中採用的是風險檢查表,那麼此時在檢查表中可能已經提供了風險的分類,例如:資源、技術、溝通、質量等,可以更好的思路開展頭腦風暴。而假如在識別過程中,主要採用的是頭腦風暴法,那麼需要在評估風險時對識別的風險進行分類和分組。例如:基於質量屬性的分類、軟件產品領域內的分類、常見風險列表分類等。下圖是基於ISO 25010質量模型得到的質量屬性分類。
確定風險分類之後,接下來需要定義風險的參數:可能性和嚴重程度。其中:
1)風險可能性指的是被測對象中存在潛在問題的可能性。其主要從技術層面進行分析,有時也稱爲技術風險。可能性會受到各種因素的影響,例如:被測對象採用技術的複雜性、軟件產品參與人員的技能等;
2)風險嚴重程度指的是當風險發生時,對用戶/客戶或其他干係人影響的嚴重性,有時也稱爲業務風險。嚴重程度會受到各種因素的影響,例如:被測對象功能使用的頻率、對組織形象的損害等;
判斷風險高低依賴於風險的上述兩個參數,從這裏引出一個“風險級別RL(Risk Level)”的概念。通常情況下,風險級別公式可以表示爲RL = P * S。在判斷風險級別過程中,可以採用定性分析、定量分析,也可以是兩者的結合。例如:
1)分析1 - 定性分析:將可能性和嚴重程度分別定義爲高H、中M和低L。其優點是判斷高中低相對容易,缺點是計算過程會比較麻煩,有時候無法進行合適的量化;
2)分析2 - 定量分析:將可能性和嚴重程度分別按照實際數據進行判斷,例如:風險發生的可能性是37.68%。這個判斷應該是困難的,同時判斷出現偏差無法控制;
3)分析3 - 兩者結合:將定性分析和定量分析相結合,例如:將可能性和嚴重程度分別用[1,10]區間進行表示,10說明最高,1是最低。其中這些判斷是定性的過程,同時又是可以進行量化計算的;
基於計算得到的風險級別,我們就可以確定被測對象的測試優先級。基本規則是:風險級別越高,通常其測試優先級會越高。但是,這不是絕對的,因爲在判斷測試先後順序時,還需要考慮其他因素的影響,例如:測試之間的相互依賴關係。確定測試優先級可以基於兩種不同的測試略:深度優先和廣度有限。
確定了風險的分類、可能性和嚴重程度,計算得到風險級別RL,並以此判斷測試先後順序後,還需要針對該風險進行跟蹤的責任人。通過責任人監視風險的不同狀態,風險緩解的有效性,是否有新的風險出現等。
完成上述活動之後,接下來需要對結果進行評審。通過評審確定識別風險的完整性,同時確定風險評估過程中確定的分類、可能性和嚴重程度、風險級別和優先級等是否合理,並在干係人之間保持一致性。同時,通過評審的結果,可以在需要時修訂通用產品風險。
本文只是涉及到風險管理的風險識別和風險評估,其他階段如風險應對和風險監控等內容,在後續文章會逐步體現出來的。