הועידה ה-4 לפתרונות QA , הבטחת איכות ובדיקות תוכנה - מצגות וקישורים
RFIgo בשיתוף עם SBC כנסים מרכזים לטובת משתתפי כנס QA מצגות הכנס, אנשי הקשר, מידע וקישורים רלוונטיים נוספים. RFIgo - מרכז המידע לענף המיחשוב, מעמיד לרשותכם מידע מקצועי אודות כל ספקי המיחשוב, תוכנות המדף, שרותים ופתרונות IT. לאיתור מידע השתמשו בתיבת
חיפוש, או עיברו לדף הבית לקבלת מכלול שירותי האתר
אביטל ויינברג, מנחה הכנס ראש מינהל לקוחות אגף איכות והסמכה, מכון התקנים הישראלי
מכון התקנים
גוף התקינה, הבדיקות וההתעדה הלאומי. בדיקות והתעדה של גופים בתחום ההיטק.
"... משבר איכות התוכנה הוא משבר שקיים כבר שנים, ועודו איתנו... כולם יודעים שתוכנה זה דבר לא אמין... ראו לדוגמא את כשלון 2 מתוך 3 הניסיונות לבחירות ממוחשבות בפריימריס האחרונים... עדיין יש בעיה בעמידה בלוחות זמנים וקושי בטיפול בשינויים תוך כדי הפיתוח ... הבדיחות הישנות על הבעיות בתהליכי הפיתוח עדיין רלוונטיות... למה המצב הזה ממשיך?..."
"... בתעשייה יש ניסיונות למצוא כלי תוכנה שיפתור את כל הבעיות, אבל הבעיה מורכבת ואין כלי אחד שיפתור הכל... ומצד שני עדיין בהרבה מאוד מקומות אין נהלי פיתוח מסודרים ואיכות הפרויקט תלויה באיכות מנהל הפרויקט ולא בנהלים אחידים המבטיחים איכות בכל הפרויקטים...זהו תחום המתפתח כל הזמן וקשה להעריך ולהכיר את כל השיטות והכלים החדשים..."
"... מספר טכנולוגיות שכדאי להכיר: Extreme Programming (XP)/ Agile methods... SCRUM - מתודולוגיה לניהול הפרויקט... Model Based Development/Testing - בדיקות מונחות מודלים, קודם מפתחים את המודלים ומהם ייווצר הקוד... Aspect-Oriented Software Development - פיתוח מונחה אספקים... Test-Driven Development - TDD - פיתוח מונחה בדיקות, כתיבת הבדיקות לפני הפיתוח, כאשר במקרים מתאימים זו שיטה היכולה להביא לתוכנה יותר אמינה בזמן פיתוח קצר יותר... Formal Methods tools for Software - שיטות פורמאליות, כך למשל מיקרוסופט משתמשת בשיטת SLAM בכלים לפיתוח דרייברים... ויש עוד..."
"... למי יש זמן ללמוד את כל זה?... איש האיכות צריך להכיר המון מתודולוגיות וטכנולוגיות..."
"... בצד האקדמיה ישנם מספר גורמים לכך שהמצב אינו מתקדם משמעותית... הידע מבוזר בין פקולטות למדעי המחשב, תעשייה וניהול והנדסת חשמל... לפעמים השפות, התיאוריות והפתרונות הנחקרים מנותקים מהנעשה בפועל... יש נטייה להתמקד בנושא מסוים ולא להכיר את המכלול... ובנוסף, כשיש גישה חדשה, קשה לבדוק את התרומה של הגישה החדשה לאיכות התהליך או המוצר, חסרים באקדמיה אמצעים ודוגמאות מקיפות..."
"... כדאי להגביר את שיתוף הפעולה בין מה שנעשה בתעשייה לאקדמיה... בסופו של דבר, למרות שכולם עסוקים, זה הדבר הנכון לעשות, כזה שיביא בסוף גם לרווח כלכלי... יש שיתופי פעולה כאלה בהרבה תחומים כמו גרפיקה ממוחשבת, רובוטיקה, רשתות ותקשורת אבל בתחומי המתודולוגיה והנדסת התוכנה יש מעט מאוד שיתופי פעולה... בהוראה יש התחלה של זרימה חד כיוונית - בוגרי תוכניות הלימודים המשתלבים בתעשייה, כך למשל עם בוגרים שלנו בתחום הנדסת תוכנה... דוגמא לשיתוף פעולה של הטכניון היא בפרויקט מחקר על אספקטים של פיתוח של האיחוד האירופי AOSP-Europe ובו משתתפות חברות כמו יבמ וסימנס..."
"... כדאי לעודד גישה אקדמית, נטולת סוכני מכירות, להכרה והערכה של כלים ושיטות לפיתוח... גם באקדמיה יש חידושים בתחומים האלה היכולים לעזור, וחשוב לשמור על קשר ולהתעדכן... ובנושאי הנדסת תוכנה והבטחת איכות ניתן להגדיר ולבצע פרויקטים משותפים..."
"...היום האינטרנט הוא חלק מהחיים... אנחנו לא רואים את עצמנו ללא אינטרנט... אבל יש קבוצה גדולה של אנשים עבורם אתרים רבים באינטרנט אינם נגישים, אלו אנשים בעלי מוגבלויות שהאינטרנט היה יכול להיות קפיצת מדרגה עבורם, אבל בעצם רוב האתרים חסומים עבורם... הסיבה נעוצה בדרך כלל בחוסר מודעות..."
"... בקבוצת האנשים בעלי מוגבלויות לנושא האינטרנטאנו כוללים: עיוורים, ליקויי ראיה ועיוורי צבעים... חרשים וכבדי שמיעה (יש 600,000 בארץ!)... בעלי מוגבלויות מוטוריות הנתקלים בדרך כלל בבעיות בתפעול עכבר... בעלי מוגבלויות קוגניטיביות כמו ליקויי למידה, דיסלקטים, עולים חדשים ומבוגרים..."
"... המחסומים לאוכלוסיות אלה הם בתפישה, הפעלה ומובנות... כמו כן קיימים המחסומים הטכנולוגיים - זאת אומרת שהאתר אינו ניתן לתרגום או תפעול באמצעות עזרים הקיימים אצל הגולש עם המוגבלות, כמו למשל תוכנה להקראת מסך..."
"... אם נקח לדוגמא את בעיית הראיה הרי שאי אפשר להסתמך על עכבר ומיקום הסמן וצריך לתת יכולת ניווט באמצעות המקלדת, האתר צריך להיות מובן לתוכנה קוראת מסך וצריך להציע חלופות מילוליות לתמונות... לכבדי ראייה חשובה תמיכה בהגדלת הטקסט בלי לפגוע בו..."
"... קיימות היום שלוש רמות של נגישות אתרי אינטרנט, כאשר ההגדרה היא ברמת הדף... יש דרגה שתחייב ארגונים פרטיים, כזו שתחייב ארגונים ציבוריים ודרגה המאפשרת נגישות מקסימאלי..."
"... יש מספר סיבות מדוע כדאי שהאתר שלנו יהיה נגיש... הנגשת אתרים מעוגנת בחוק, ובקרוב יכנס החוק המחייב הנגשת אתרי אינטרנט... ישנן הסיבות המוסריות וחברתיות... אך ישנה גם סיבה עסקית, הנגשת האתר מאוד משתלמת - בסך הכל מדובר על היקף של 25% מהאוכלוסייה - 25% יותר מבקרים!... בשנים האחרונות קיימת עלייה במודעות, כיום באתר חדש אם דואגים להנגשת האתר מראש, לא כרוכה בכך עלות משמעותית נוספת..."
"... מחקר שנערך באתר של חברת ביטוח שהונגש הראה גידול של 30% במספר הכניסות... הסיבה לכך היא שיש התאמה בין דרישות הנגישות לתחומים שמנועי החיפוש מדרגים לפיהם את ההתאמה לחיפוש המשתמש..."
"... ב- VNess יש לנו ניסיון של שלוש שנים בתחום ואנחנו יכולים להציע סט של בדיקות לנגישות לפי רמות, והדרכה למפתחים... אנחנו עושים שימוש בכלים אוטומטיים בתחום הנגישות..."
נס טכנולוגיות
ספקית שירתי IT בישראל וב-18 מדינות בעולם. חטיבת הבדיקת של נס טכנולוגיות, V-NESS מובילה את שוק הבדיקות בישראל.
עידו שר סבר, מנהל מכירות אזורי QualiSystems
מצגת: Multi-sequence test creation for complex environment using TestShel (ללא מצגת)
"... המגמה בתחום הבדיקות - יש יותר ויותר מוצרים, יותר ויותר רגרסיות ומצד שני התקציבים מוגבלים יותר... TestShell הפלטפורמה אותה פיתחנו כוללת אוסף של אפליקציות בתחום, אתמקד ב- TestShell Studio אפליקציה לבניית תסריטי בדיקות אוטומטיים באופן מהיר וללא צורך בידע בתכנות... זו סביבה היודעת להתממשק לסביבות שונות במגוון פרוטוקולים בסביבות ה-Mobile, תקשורת, ציוד רפואי, תעשיות התחבורה, התעופה והביטחון..."
"... תהליך הבדיקות כולל פיתוח, ביצוע ואנליזה... כלי ה-Studio ממוקד בתחום הפיתוח... אם עד היום השתמשנו בקידוד הבדיקות בפקודות טקסט או אוביקטים גרפיים, הכלי מאפשר כתיבת בדיקות ללא קידוד... אפליקצית הסטודיו יודעת להתממשק לסביבה שלכם, להגדיר קומפוננטות, לבצע רגרסיות, לקשר לבדיקות אחרות... ניתן לשלב בתסריט מודולים מוכנים רבים כמו דיאלוג עם המשתמש, פרוטוקולים, שימוש בשירותים כמו שליחת דוא"ל, מודולי אינטרנט ועוד..."
"... בתוך הפלטפורמה של הסטודיו יש יכולות של debugging כדי להבין אם יש בעיות בתסריטים שכתבנו... אם בכתיבת בדיקות קלאסית יש שלבים של כתיבת בדיקות, תיקונים, ביצוע ודיווח שלוקחים הרבה זמן, אז בסביבה שהיא Drag & Drop כל אחד משלבים האלו מתקצר משמעותית..."
"... אפליקציות נוספות כוללת את TestShell Runner - סביבת ההרצה של הבדיקות, שליטה בקלטים ופלטים וקבלת דוחות... TestShell Controller - לביצוע Load Balancing בין הרבה עמדות ותזמון הרצות... TestShell InSight - כלי BI לשלב האנליזה הנותן Dashboard על המידע שהצטבר בבסיס הנתונים, כולל התראות ודיווחים..."
QualiSystems
מערכת טסטשל לניהול איכות. הצגת טסטשל סטודיו - אפליקציה לכתיבת בדיקות אוטומטיות מורכבות ללא שימוש בשוק.
"... Quality Gates היא תפיסה הממוקדת בכל מה שקשור בתהליכי בדיקות ואבטחת איכות במחזור חיי הפרויקט... בכל שלב בפרויקט מציבים שער - Gate המאפשר לנו להמשיך לשלב הבא... טסטקום פיתחה Utility המממש את התפיסה הזו על בסיס אקסל... פיתחנו Utility נוסף ל-Maturity Module המבוסס על תקני בשלות בעולם, תואם CMMI, מתרכז בתחום הבדיקות ובודק את רמת הבשלות בארגון בתחום... שני הכלים האלה משתלבים ונותנים מענה לנושא הבדיקות ואבטחת האיכות..."
"...Quality Gate Utility - מאפשר הגדרת התנאים למעבר משלב לשלב, כאשר התנאים האלה מחייבים (בארץ לפעמים לא כל תנאי הוא מחייב וחלקם הם בגדר המלצה)... ההתחלה היא משלב הייזום... האקסל כבר מגיע עם המלצות לגבי מה כדאי שיקרה כדי לעבור לשלב הבא, ועל בסיס זה ניתן לבצע את ההתאמות לארגון... השימוש בכלי זה מאפר מעקב אחרי כל פרויקט, השוואה בין הפרויקטים, זיהוי תנאים שלא התקיימו והצפת סיכונים בעקבות כך..."
"ה- TMM - Test Maturity Module מסתכל על הרמה של הארגון כולו, אינו מותנה בלוחות זמנים של פרויקט מסוים, אלא נבדק בפרקי זמן מוגדרים מראש... הוא מאפשר להציב מטרות כדי לעלות עם הזמן ברמת הבלשות של הארגון... ה-Utility הוא תבנית המכילה כבר את כל השאלות הרלוונטיות... הארגון צריך למלא את התשובות לשאלות ועל פיהן מחושבת רמת הבשלות... אם מגדירים יעד לבשלות, הכלי יכול להוציא רשימת מטלות (הניתנות לייצוא לאאוטלוק או פרוגקט)
שביצוען יוביל להעלאת רמת הבשלות לזו הרצויה... הכלי מאפשר ניהול של כל נושא האיכות בארגון, תומך בביצוע תהליכי שיפור, מוודא שהארגון מתרכז בחלקים החשובים, מתווה דרך לארגון לגדילה והתפתחות..."
טסקום
חברת ייעוץ ליישום פתרונות הבטחת איכות, ניהול איכות ושיפור יעילות תפעולית.
"...Open Source - תהליך פיתוח המתבצע באופן מבוזר תוך שקיפות מלאה ומשוב תמידי בין משתמשים ומפתחים כאשר השליטה בעצם עוברת אלינו ולא אצל הספק ממנו קנינו את המוצר..."
"... יתרונות פתרונות הקוד הפתוח כוללים:... עלויות נמוכות בהורדה, התאמה ותחילת עבודה... איכויות גבוהות של המוצר... היות ואין קיצור תהליכים לא בתכנון ולא בבדיקות מתקבל מוצר איכותי בזמן מהיר יחסית... היות וכל הקוד חשוף לכולם, המפתחים דואגים שהקוד יהיה איכותי... יש פידבק מתמיד מהמשתמשים המשמש לשיפור המוצר... יש יתרון משמעותי לקהילה, כיוון שיתכן ויש מישהו אחר שכבר מצא פתרון לבעיה שאנחנו נתקלים בה..."
"... איך לבחור מוצר קוד פתוח מוצלח?... צריך לקחת בחשבון שבסופו של דבר נצטרך עזרה מקצועית, לכן יש לוודא שיש חברה הזמינה לכך... חשוב לבדוק את נושא הקהילה - האם יש קהילה גדולה, מי החברות הגדולות העומדות מאחורי המוצר או משתמשות בו... חשוב שלמוצר יהיה Roadmap ויש לבדוק את אותה תוכנית תואמת את הצרכים העתידיים שלנו... כמו כן חשוב לבדוק את נושא הרישוי, יש לוודא שיש רישיון התואם את הארגון שלנו וכדאי להתייעץ על כך עם מומחים..."
"... מספר כלי קוד פתוח לתחום אוטומציית הבדיקות:... כלי xUnit להרצת בדיקות יחידה... JMeter לבדיקות עומסים... Selenium לבדיקות Web... JSystem המעניק סביבת בדיקות מלאה... SoapUI לבדיקת Web Services..."
"... אציג פתרון ספציפי המשלב מספר כלים לבדיקות בתחום ה-Web..."
"... האתגרים בסביבת האינטרנט הם של סביבה דינאמית, מעבר מ WEB1.0 ל WEB2.0 שמאפשר תוכן דינאמי, אפליקציות עשירות עם AJAX, FLEX ו-Flash, מיקוד בקהילות גדולות, אפליקציות שלמות הרצות מהדפדפן וריבוי דפדפנים (פייקפוקס, אקספלורר, אופרה, כרום)..."
"... הפתרון מורכב כולו מכלי קוד פתוח JSystem+Selenium+JMeter כאשר סביבת המערכת הנבדקת דורשת תמיכה במספר דפדפנים כולל Mobile, שרת ובסיס נתונים... את נושא ה-WEB ננהל בעזרת Selenium, עבודה מול השרת (קונפיגורציות וכד') בעזרת Telnet Via SSH, גישה לבסיס הנתונים עם JDBC, ובדיקת עומסים עם JMeter... כל הפתרונות האלה מבוססים רישוי אפצ'י, שהוא רישוי מקל..."
"... היתרונות של Selenium הם בתמיכה בכל סוגי הדפדפנים, ריצה על גבי כל סוגי הפלטפורמות הנפוצות(חלונות, לינוקס, סולאריס) תומך ב-Flex ו-Flash, מאפשר מנגנון הקלטה וייצוא למספר שפות פיתוח... JSystem נותן את המעטפת המאפשרת את כל תהליך הבדיקות - כתיבת הבדיקות, הרצתן, ניהול התוצאות וניתוחן... ניתן לשלב בו את כלי בדיקת העומסים JMeter..."
AQUA
שרותים, פרוייקטים וייעוץ בתחום האוטומציה של QA.
"... חוזקות ומאפיינים של תחום בדיקות התוכנה בישראל... בארץ אנחנו מסתמכים מאוד על יצירתיות ומקוריות... כל חברה מייצרת מתודולוגיה משלה... הבודקים, במיוחד בהשוואה לאירופה, הם 'ראש גדול' עם יכולת אילתור גבוהה... יש הרבה יותר הסתמכות על הבודק... רמת הבודקים בארץ היא מהגבוהות בעולם, במיוחד בתחום היכולות... בארץ יש הכרה עסקית בחשיבות חברות הבדיקה, כ-80% מתחום הבדיקות מרוכז בחברות הבדיקה - זה פחות אופייני בחו"ל... בארץ רוב הבודקים עובדים בחברות המייצרות תוכנה, הרמה הטכנולוגית גבוהה, ויש כניסה לטכנולוגיה ובדיקתה ולא מסתפקים רק בנקודת המבט של המשתמשים... בבדיקות אוטומטיות הרמה בארץ דומה לזו שבארה"ב, כאשר באירופה כמעט ולא משתמשים בבדיקות אוטומטיות, הם מתמקדים באיכות התהליך ופחות ביעילותו... בארץ המבנה הארגוני בתחום הבדיקות הוא היררכי והתקורה הניהולית גבוהה מזו שבחו"ל, למשל באירופה יכולים להיות 80 אנשי בדיקות תחת מנהל אחד..."
"... באירופה רמת המתודולוגיה בתחום ניהול הבדיקות גבוהה, בעיקר במתודולוגית TMAP... זה נראה גם ברמת המחקר והספרות המתפרסמת... כל בודק תוכנה באירופה קרא לפחות 4 ספרים בנושא... יש הצמדות לסטנדרטים, שימוש בטרמינולוגיה אחידה... יש הפרדה ברורה בין בדיקות לבין הבטחת איכות... יש הרבה מסמכולוגיה, רמת התעוד מאוד מפורטת, רמת ההכשרות וההדרכות מאוד גבוהה, וכדי למצוא עבודה המועמד צריך לפחות סרטיפיקציה אחת... המבנה הארגוני מטריציוני עם פחות מנהלים... תפיסת חשיבות הבדיקות בארגון היא מאוד גבוהה... יחס המפתחים לבודקים מגיע לעיתים ל 1:1..."
"... בארה"ב הגישה לבדיקות היא מאוד פרקטית, הידע מופנה בעיקר לבודק ופחות למנהלי הבדיקות... רמת הידע של הבודקים בקוד גבוהה, יש בדיקות ברמת הקוד, ושימוש ב Test Driven Development...מנהל בדיקות הוא אדם עם ותק של 20 שנה, בודקים רואים את עתידם כמנהלי בדיקות... אחד הדברים שאפשר ללמוד מארה"ב הוא רמת השיתופיות בתחום, אנשי מקצוע שם מייצרים ארגון חברים, מתכנסים אחת לתקופה ומעבירים בינם ידע, כך שמנהל QA מכיר עשרות קולגות... צוותי הבדיקות מבוזרים, ויש שימוש רב בצוותי Offshore... יש המון גורו-ים בתחום, מה שלגמרי אין בארץ..."
"... מבחינת מתודולוגיות וכלים ניתן למצוא את ה-TPI שהוא כלי פופולרי באירופה הבא לענות על השאלה 'עד כמה טובות הבדיקות שלכם?' ומסייע בבניית תוכנית עבודה לשיפור... Exploratory Testing היא מתודולוגיית בדיקות על פיה לוקחים את המערכת, מחלקים אותה ל-sessions של 90 דקות כל אחד, ובזמן הזה צריך ללמוד, לבצע את הבדיקות ולתעד... זו גישה המנפצת את כל הגישות המקובלות היום לתחום הבדיקות... SCRUM Testing היא שיטה שתופסת תאוצה בארה"ב, שבמרכזה ביטול מחלקת הבדיקות ושילוב איש בדיקות בכל צוות פיתוח, כאשר הפיתוח מתבצע במחזורי פיתוח קצרים..."
QUALITEST
בית תוכנה לבדיקות. הצגת הבדלים בין בדיקות תוכנה בישראל ובעולם.
"... עקרונות פיתוח Agile - המוקד הוא לראות את האדם מולנו מאשר לדבר על כלים ותהליכים... לראות את התוכנה... שיתוף פעולה עם הלקוח ולא עיגונו בחוזים בלתי אפשריים... עדיפות לגמישות לשינויים לעומת התקדמות על פי תוכנית מוכתבת מראש..."
"... Agile SCRUM היא הדרך היישומית לבצע Agile..."
"... תפקידי איש ה-QA לפי SCRUM:... איש ה-QA הוא חלק מצוות, והאחריות היא חלק מהצוות... כתיבת הרבה Unit Tests, כי זו הדרך להשיג תוך כדי הגירסא, גירסא בשלה יותר... הכרת היכולות האמיתיות, יהיו הרבה דברים שצריך להתעמת איתם - הכל יקרה... מסמכים הם במקרים רבים מיותרים, אף פעם לא חוזרים אליהם, תתרכזו בפרויקט... העבודה מתבצעת ביחד, על כל משימה עובדים יחד עד לסיום... החצנת מצב הגירסא היא אחד הדברים החשובים, הצוות בתחילת איטרציה של 3 שבועות מתחייב למשימות ומסיים אותן, כולם מחצינים את מה השלימו ומה הם עומדים לעשות... יש להתעקש על הגדרת תנאי הסיום של המשימה... דפוס חשיבה חדש - להרוס, Test Driven Development - נגדיר מה רוצים לראות בסוף, נגדיר את הבדיקה ורק אז נקודד... איש ה-QA צריך להיות יד ימינו של מנהל המוצר, הוא צריך להבין את הערך של ה-User Story... בדיקות אוטומטיות הן אחד הכלים היותר משמעותיים והמעניקים שליטה על המוצר..."
"... יום בחיי איש בדיקות: עבוד על המשימה המתועדפת ביותר לאותו יום, התחייב בצורה הגיונית, השתתף בפגישה היומית, צור 'מיקרו צוות עבודה' לכל משימה עם המקודד הרלוונטי, כתוב בדיקות על פי הצורך..."
"... שילוב של איכות בשלבים מוקדמים קריטי לעסקים וגם משתלם בגדול... לתפוס את הבעיה כשהיא קטנה... הגדרת איכות מבחינתי היא התאמת המוצר לדרישות וציפיות הלקוח... האיכות מובנית כחלק מהמוצר ואינה תוספת מעל המוצר... שילוב איכות בשלבים מוקדמים חוסך זמן ומשאבים יקרים, ונותן ללקוחות פרויקטים אמינים בזמן מקוצר..."
"...Source Code Analysis - ישנם כלים אוטומטיים, כמו Klocwork, המאפשרים מעבר על קוד המקור ואיתור בעיות מסוגים שונים, הכלים מראים חיסכון מוכח של 30% בעליות פיתוח תוכנה, ניתן לשלב כלי כזה בכל שלב בחיי המוצר..."
"... הבדיקות יכולות להיעשות בטיפול ישיר בקוד על ידי Code Reviews אנושי, או Static Code Analysis... או בטיפול עקיף של אכיפת תקנים ובדיקות לפני שחרור גירסא, רק שאז עלויות התיקון כבר גבוהות ונדרשים מספר סבבים..."
"... הנזקים מבאגים יכולים להיות עצומים: קריסת בורסות ומערכות תקשורת, טעויות במערכות רפואיות וצבאיות שפגעו בחיי אדם, התרסקויות מטוסים וכו... אתם כלקוחות, יכולים לדרוש בדיקות כבר מהשלב הראשון, אתם יכולים לדרוש בדיקות קוד סטאטיות או להצהיר שתבצעו בדיקות כאלה לקוד המתקבל מהספק... ה- QA הוא תהליך המבטיח את איכות המוצר או המערכת, זו לא רק פעולה המתבצעת בסוף תהליך הפיתוח, זו תרבות שלמה... לפי קיפר גונס - מצוינות בתהליכי איכות מחזירה 15$ על כל 1$ המושקע בה..."
"... בעיות שראיתי מבדיקת נושא האיכות בכמה עשרות ארגונים:... מתחילים את הבדיקות מאוחר... חסרים אנשי בדיקות... אין מספיק זמן לבדיקות... אנשי הבדיקות אינם מיודעים בשינויים... עסוקים במשימות אחרות..."
"... התוצאה היא שהבדיקות נעשות בצורה לא יעילה, מקבלים איכות מוצר נמוכה, ובמקום לקדם את המערכת לגירסאות הבאות אנחנו מתעסקים כל הזמן בתיקונים... ה-CMMI נותן מסגרת לתחום הבדיקות, לביצוע יותר אפקטיבי וגם לשביעות רצון הבודקים..."
"... ה-CMMI - Capability Maturity Model Integration הוא מודל של התנהגות שהיינו רוצים לראות בארגון באינטגרציה של מספר תחומים... המודל הוא אוסף של Best Practices, שהתחיל כיוזמה של הצבא האמריקאי, רוכש התוכנה הגדול בעולם... הצבא חיפש כלי שיאפשר לו לבחור ספקים ועם הזמן הכלי התפתח לכלי לשיפור תהליכים..."
"... למודל יש מבנה מאוד מודולרי, הוא בנוי מ-process areas שלכל אחד יש יעדים שבהם צריך לעמוד - יעדים ספציפיים לאותו תחום ויעדים כלליים הנדרשים בכל התחומים... קשה לשפר בבת אחת ולכן יש תוכנית אחת לפי שלבים ותוכנית אחרת לשיפור לפי הקריטיות לארגון של תהליכים מסוימים..."
"... מבחינת השימוש במודל, באופן רשמי נעשו בעולם מעל 3000 הערכות ובארץ 16 הערכות, בהודו או סין השימוש במודל נפוץ יותר, והסיבה לכך נעוצה בחלקה מלחץ של העובדים... מחקר ב-30 ארגונים שהשתמשו ב-CMMI ברמות שונות מראה שיפורים משמעותיים בעלויות, בלוות הזמנים, ביעילות ובאיכות, כאשר יחס ההחזר על ההשקעה הוא 4:1... אנו רואים זה מודל הנפוץ בחו"ל והמוכיח את עצמו..."
"... כדאי להשתמש במודל כיוון שהוא גמיש וניתן ליישם אותו בכל שיטה (גם SCRUM או Agile), הוא מודולרי, ניתן לבצע שיפור אינקרמנטלי ולגדול עם הנהלים לאורך הזמן תוך שיפור מתמיד..."
"... בדיקות מכל סוג שהוא יכולות להיעשות בכל רמה של המוצר... המודל מבחין בין Verification ל-Validation... הראשון בודק אם בנינו את המערכת נכון והשני בודק אם בנינו את המערכת הנכונה... ב-Verification צריך לעשות הכנות לבדיקות ואז לבצע אותם, כאשר בדיקה על ידי עמיתים נחשבת חלק מהבדיקה... בבדיקות צריך להגדיר את הרמה בה עושים את הבדיקות, נכין את סביבת הבדיקות, קריטריונים לקביעה אם המוצר עבר את הבדיקות וניתוח התוצאות... ב-Validation נוודא שהמוצר או חלק ממנו יבצע את מה שנדרש ממנו כאשר ישימו אותו בסביבה המיועדת לו... הבעיה היא שאנחנו לא עושים Verification כמקצוענים... אנחנו צריכים: להגדיר מדיניות ארגונית, לתכנן את התהליך, להקצות את המשאבים הנדרשים, לחלק אחריות, להכשיר אנשים..."
"... הניסיון שלי מראה שכאשר הגענו לארגונים ואימצנו את ה-CMMI התפקידים נעשו ברורים יותר, הפעילויות תוכננו מראש, אנשי הבדיקות נעשו חלק אינטגרטיבי מהפיתוח, תרמו לגלות בעיות רגע לפני השחרור, מדדו את האיכות שלהם, שיפרו את אפקטיביות הבדיקות וגם שביעות הרצון והעניין שלהם בעבודה עלו..."
רב שיח בנושא קוד-בטוח
מצגת N.A Security:פיתוח מאובטח
מנחה: יריב דיאמנט, ראש תחום הבטחת מידע IQC
משתתפים: אייל גרונר, CTO חברת באגסק BugSec
נדב אריכא, מנכ"ל N.A Security
שלומי עמר, מנכ"ל TEST-PRO
שי מחנה CTO TRINITY
אייל, באגסק: "... שילוב אבטחת מידע והבטחת איכות, אי טיפול בבעיות אבטחת מידע כמו SQL Injection או יצירת עומס על השרת באמצעות שאילתות השולפות הרבה מידע הוא בעצם בעיה בהבטחת איכות..."
נדב, N.A Security: "... אבטחת המידע צריכה ללוות את התהליך מתחילתו ועד סופו, כמו שנציגי האיכות מלווים את הפרויקט לאורך כל הדרך..."
שלומי, טסטפרו: "... אין מה לחשוש מהתחום, בעלות נמוכה ניתן להתקין כלי שיבדוק ויוודא שהמערכת שלנו מאובטחת מפני סיכוני אבטחת המידע השונים..."
שי, טריניטי: "...ישנה גם בעיה של אמון, האם התוכניתנים בזדון או לא בכוונה מכניסים סיכוני אבטחת מידע במערכת... יש לכך היום כלים ומתודולוגיות כדי להפוך את תהליך הפיתוח לבטוח יותר וכזה המעלה את האמון בקוד שאנחנו מקבלים מהמפתח..."
שלומי, טסטפרו: "... את בדיקות אבטחת המידע חשוב לעשות כבר בתחילת התהליך..."
נדב, N.A Security: "... ביצוע בדיקות כאלה יביא לחיסכון כספי ניכר..."
שי, טריניטי: "... אספקט מסוים של הבטחת איכות הוא להגן מפני טעויות אנוש... בנייה של תהליך פיתוח העמיד בפני טעויות יוביל למערכת איכותית..."
שלומי, טסטפרו: "... הכלים יכולים לבצע Static Code Analysis גם לקוד המתקבל מבחוץ, הם מאתרים אוטומטית סיכוני אבטחת מידע... הכלים מתעדכנים כל הזמן בסיכוני אבטחת המידע החדשים..."
שי, טריניטי: "... כיום יש חברות הדורשות ביצוע של Static Code Analysis או מציינות שיבצעו בדיקות כאלה על הקוד שהן מקבלות מהספק..."
נדב, N.A Security:".... אבטחת מידע והבטחת איכות נחשבים כעוצרי הפרויקט, אנשי הQA והSECURITY , מפריעים לצוות הפיתוח להגיע לתאריך היעד ולספק את האפליקציה בזמן, וכפי שחז"ל אמרו "החיפזון מהשטן" ..."
HP software
מובילה את תחום ניהול ואוטומציה של בדיקות. מאז כניסתה של מרקורי ב-2007 לHP software נתח שוק של כ 80% בישראל בתחום ה-qulity.
