Q-YF-QP-5.1-2011缺陷管理子過程

1、缺陷管理子過程缺陷管理子過程版本號版本號版本說明版本說明/ /變更理由變更理由/ /變更內(nèi)容變更內(nèi)容作者作者/ /日期日期審批人審批人/ /日期日期備注備注0.1創(chuàng)建文檔袁培茹/201004221.0修改為標準格式，添加靜態(tài)代碼及單元測試等級定義袁培茹/2011-9-27林雪焰/2011-9-271.1修改缺陷來源、添加優(yōu)先級、測試類型袁培茹/2012-1-16林雪焰/2012-1-161.2修改靜態(tài)代碼測試缺陷等級，分為 fortify和 checkmarx 進行描述，并填寫了處理意見。袁培茹/2013-4-10侯鵬亮/2013-4-101.3修改缺陷狀態(tài)處理部分袁培茹/2014-4-28侯

2、鵬亮/2013-4-28變更說明分為四個部分變更說明分為四個部分：初始創(chuàng)建；增加內(nèi)容；修改；刪除文件編號文件編號: : Q-YF-WI-5.1-2011密級：密級：公開使用 內(nèi)部使用主管部門：主管部門：產(chǎn)品中心受控狀態(tài)：受控狀態(tài)：受控文件缺陷管理子過程 第 2 頁 共 8 頁目 錄1目的目的.32缺陷管理缺陷管理.32.1總體流程圖.32.2活動說明.32.2缺陷狀態(tài)流轉(zhuǎn)說明.43缺陷關(guān)鍵屬性缺陷關(guān)鍵屬性 .43.1缺陷狀態(tài).53.2缺陷等級.53.2.1系統(tǒng)測試缺陷等級.53.2.1單元測試缺陷等級.63.2.1靜態(tài)代碼測試缺陷等級.63.3缺陷來源.63.4新缺陷根源.63.5無效缺陷原因

3、 .63.6優(yōu)先級.73.7測試類型.7缺陷管理子過程 第 3 頁 共 8 頁1目的目的 此文檔對缺陷管理和缺陷等級進行了定義，詳細說明了缺陷管理的流程和活動、缺陷等級的具體含義，目的在于規(guī)范測試和指導(dǎo)測試活動。2缺陷管理缺陷管理 本章節(jié)對缺陷管理的過程過程進行了介紹，以便指導(dǎo)具體測試工作的進行。2.12.1 總體流程圖總體流程圖提交缺陷開發(fā)確認缺陷修復(fù)缺陷是否修復(fù)驗驗證證和和確確認認缺缺陷陷結(jié)束開始是是是審批是否遺留審批是否為缺陷否是否否否是否2.22.2 活動說明活動說明活動名稱活動名稱操作人員操作人員具體活動具體活動提交缺陷測試人員發(fā)現(xiàn)缺陷后，填寫缺陷報告，將缺陷分配給具體的開發(fā)人員，對

4、于不清楚缺陷該分配給誰修改的情況，可以分配給項目經(jīng)理，由項目經(jīng)理確認，缺陷狀態(tài)默認為 Open。對于回歸測試返現(xiàn)的新問題，需要選擇“新缺陷根源新缺陷根源” ，當選擇其他時，需要具體說明。開發(fā)確認缺陷開發(fā)人員對發(fā)現(xiàn)的缺陷進行確認，確認是否為缺陷，對于確認不是缺陷的進行拒絕處理，缺陷狀態(tài)設(shè)置為 Reject，并寫明拒絕的原因；確認是缺陷的進入進一步確認是否要修復(fù)活動。審批是否為缺陷技術(shù)經(jīng)理/項目經(jīng)理對開發(fā)拒絕 Reject 狀態(tài)的缺陷，進行審批，審批通過狀態(tài)不變。審批不通過分為三種情況：1）需要馬上修復(fù)，重新打開缺陷，將缺陷狀態(tài)處理為 Reopen.2）暫遺留可以后續(xù)版本修改，將缺陷狀態(tài)處理為 L

5、eave3）遺留，將缺陷狀態(tài)處理為 Delay。缺陷管理子過程 第 4 頁 共 8 頁是否修復(fù)開發(fā)人員對于確認為缺陷的進一步判定是否修復(fù)，對于確定不修復(fù)將缺陷處理為遺留狀態(tài) Leave，并寫明具體修復(fù)版本，對于本發(fā)布版本不做修改的缺陷，需要寫明建議處理 delay 狀態(tài)，選擇“缺陷來源” ，并寫明遺留原因；對于確認要修復(fù)的，進入修改活動審批是否遺留技術(shù)經(jīng)理/項目經(jīng)理對遺留缺陷進行審批，審批通過的意見分為兩種：1、暫遺留，缺陷狀態(tài)不變。2、本發(fā)布版本遺留，將缺陷處理為 Delay。 確認“缺陷來源” ，缺陷處理流程結(jié)束；審批不通過的將缺陷處理為 Reopen，進入修復(fù)缺陷活動。修復(fù)缺陷開發(fā)人員對

6、缺陷進行修復(fù)，選擇“缺陷來源” ，填寫修復(fù)記錄，將缺陷處理為Fixed 狀態(tài)驗證和確認缺陷測試人員1、對修復(fù)的缺陷進行驗證,對于驗證通過的填寫確認意見，將缺陷處理為 Close 缺陷處理流程結(jié)束；對于確認缺陷還存在的將缺陷處理為Reopen。2、對對開發(fā)拒絕 Reject 狀態(tài)的缺陷根據(jù)回復(fù)的意見進行進一步確認，確認結(jié)果是不是缺陷的處理為 Nobug，并選擇“無效缺陷原因” ， 當選擇其他時，需要具體說明缺陷處理過程結(jié)束；對于確認為缺陷，填寫確認說明，狀態(tài)處理為 Reopen.缺陷仲裁項目經(jīng)理/產(chǎn)品負責人、質(zhì)量管理部經(jīng)理對測試和開發(fā)存在異議的缺陷（一般為是否為缺陷、是否能夠遺留）進行仲裁。1、

7、是否為缺陷的仲裁：仲裁結(jié)果為是缺陷的，填寫仲裁意見，將缺陷處理為 Reopen；仲裁結(jié)果為不是缺陷的，填寫仲裁意見，將缺陷處理為 Nobug，缺陷處理過程結(jié)束。2、是否遺留的仲裁：仲裁結(jié)果為遺留，填寫仲裁意見，缺陷狀態(tài)不變；仲裁結(jié)果為不能遺留，寫仲裁意見，將缺陷處理為 Reopen，缺陷處理過程結(jié)束。說明：當測試對象為項目時“仲裁是否為缺陷”和“審批是否遺留”的操作者為項目經(jīng)理；當測試對象為產(chǎn)品時操作者為產(chǎn)品負責人和質(zhì)量管理部經(jīng)理。2.22.2 缺陷狀態(tài)流轉(zhuǎn)說明缺陷狀態(tài)流轉(zhuǎn)說明“綠色”標識為測試人員操作狀態(tài)缺陷管理子過程 第 5 頁 共 8 頁OpenRejectDelayLeaveFixed

8、CloseRopenNobug結(jié)結(jié)束束開開始始3缺陷關(guān)鍵屬性缺陷關(guān)鍵屬性3.13.1 缺陷狀態(tài)缺陷狀態(tài)編號編號狀態(tài)狀態(tài)狀態(tài)操作者狀態(tài)操作者狀態(tài)說明狀態(tài)說明1Open-打開測試人員缺陷打開狀態(tài)：新發(fā)現(xiàn)缺陷時狀態(tài)2Leave-暫遺留開發(fā)人員缺陷暫遺留狀態(tài)：在發(fā)布版本內(nèi)需要修改，但是本測試版本中不修改。3Delay-遺留技術(shù)/項目經(jīng)理缺陷遺留狀態(tài)：在發(fā)布版本內(nèi)部修改。4Fixed-修復(fù)開發(fā)人員缺陷修復(fù)狀態(tài)：缺陷修復(fù)完的狀態(tài)5Nobug-無效測試人員缺陷無效狀態(tài):無效缺陷。6Close-關(guān)閉測試人員缺陷關(guān)閉狀態(tài)：缺陷修復(fù)正確的處理狀態(tài)。7Reopen-重新打開測試人員,技術(shù)/項目經(jīng)理缺陷重新打開狀態(tài)：

9、缺陷仍然存在或仍需要處理的狀態(tài)8Reject-拒絕開發(fā)人員缺陷拒絕狀態(tài)：拒絕修復(fù)缺陷的狀態(tài)。3.23.2 缺陷等級缺陷等級3.2.1 系統(tǒng)測試缺陷等級系統(tǒng)測試缺陷等級包括性能測試。編號編號缺陷等級缺陷等級詳細說明詳細說明1A-致命系統(tǒng)無法使用或給用戶造成了損失、損害1主要功能沒有實現(xiàn)或需求沒有實現(xiàn)2導(dǎo)致操作系統(tǒng)死機、藍屏、掛起或是程序非法退出缺陷管理子過程 第 6 頁 共 8 頁3用戶數(shù)據(jù)丟失或損壞4服務(wù)不能正常提供，包括運行一段時間中止。5其他2B-嚴重嚴重影響系統(tǒng)使用的缺陷：1 主要功能部分不能夠使用2 非主要功能沒有實現(xiàn)3 系統(tǒng)響應(yīng)速度。4內(nèi)存溢出5連接不能有效釋放6. 性能指標沒有達到

10、預(yù)定目標。6其他。3C-一般輕度影響系統(tǒng)使用的缺陷：1 非主要功能部分不能夠使用2 約束缺陷3 其他4D-輕微非功能性缺陷，不影響使用：1界面缺陷2易用性缺陷3其他5E-建議建議性缺陷3.2.1 單元測試缺陷等級單元測試缺陷等級編號編號缺陷等級缺陷等級詳細說明詳細說明1A-Critical致命2B-High嚴重3C-Medium一般4D-Low輕微5E-Warning警告3.2.1 靜態(tài)代碼測試缺陷等級靜態(tài)代碼測試缺陷等級Fortify 根據(jù)影響程度定義的等級：編號編號缺陷等級缺陷等級詳細說明詳細說明處理意見處理意見1Critical致命，致命影響，需要首先處理。2High嚴重，影響比較嚴重，

11、需要處理。3Medium一般，影響一般，可以有選擇處理。全部處理，對于是問題需要修復(fù)，對于不是問題的需要說明原因。4Low輕微，一般為編程不規(guī)范造成。可以有選擇的問題的進行修復(fù)處理。Checkmarx 等級定義：等級定義：編號編號缺陷等級缺陷等級詳細說明詳細說明處理意見處理意見1高（安全問題）利用可能性大，造成后果比較嚴重，如 SQL 注入和跨站等排在 OWASP Top10 前面的漏洞。2中（安全漏洞利用可能性或造成的后果相對較小，但一旦全部處理，對于是問題需要修復(fù)，對于不是問題的需要說明原因。缺陷管理子過程 第 7 頁 共 8 頁問題）被利用，同樣可以造成比較大的風險，如參數(shù)篡改3低（安全

12、問題）漏洞利用難度較大或造成的后果影響較小。如潛在的 SQL 注入和使用較弱的加密算法。4信息（質(zhì)量問題）錯誤的代碼編寫或不好的編程習慣。如：錯誤的字符串比較方式，if else 語句沒有使用大括號可以有選擇的問題的進行修復(fù)處理。安全問題的嚴重性主要是從幾個方面去考慮： 1. 漏洞利用的難度性。 2. 造成后果的嚴重性。 3. 目前出現(xiàn)的頻率。3.3 缺陷來源缺陷來源編號編號缺陷來源缺陷來源描述描述1產(chǎn)品需求2軟件需求由于需求的引起缺陷3概要設(shè)計4詳細設(shè)計由于設(shè)計引起的缺陷5編碼實現(xiàn)由于編碼本身引起的缺陷3.43.4 新缺陷根源新缺陷根源用于回歸測試發(fā)現(xiàn)新缺陷填寫：編號編號新缺陷根源新缺陷根源描述描述1漏測試測試人員原因，需求分析不全，沒有考慮周全導(dǎo)致新缺陷出現(xiàn)。2新需求3修改缺陷引起4環(huán)境差異5其他3.53.5 無效缺陷原因無效缺陷原因編號編號無效缺陷原因無效缺陷原因描述描述1理解錯誤測試人員個人原因，對測試系統(tǒng)業(yè)務(wù)沒有理解清楚，導(dǎo)致提出的缺陷無效2需求變更需求變更沒有通知測試人員，導(dǎo)致提出缺陷無效3設(shè)計變更設(shè)計變更沒有通知測試人員，導(dǎo)致提出缺陷無效4重復(fù)缺陷缺陷已經(jīng)存在，重復(fù)提交缺陷5其他3.63.6 優(yōu)先級優(yōu)先級缺陷處理的優(yōu)先級。編號編號優(yōu)先級優(yōu)先級描述描述11-低可以在方便時修復(fù)22-中正常排隊等待修復(fù)缺陷管理子過程