1、 一、 缺陷基本定義軟件缺陷（Software Defect）：軟件缺陷是對軟件產品預期屬性的偏離現象。它包括檢測缺陷和殘留缺陷。缺陷的優先性，分為5級，參考下面的方法確定：1 最高優先級(Blocker，例如，軟件的主要功能錯誤或者造成軟件崩潰，數據丟失的缺陷，或用戶重點關注的問題, 缺陷導致系統幾乎不能使用或者測試不能繼續，需立即修復。2 較高優先級(Critical，例如，影響軟件功能和性能的一般缺陷, 嚴重影響測試，需要優先考慮；3 一般優先級(Major，例如，本地化軟件的某些字符沒有翻譯或者翻譯不準確的缺陷, 需要正常排隊等待修復；4 低優先級(Minor，例如，對軟件的質量影響非

2、常輕微或出現幾率很低的缺陷, 可以在開發人員有時間的時候再被糾正；5 最低優先級(Trival,例如，屬于優化，可以不做修改的問題或暫時無法修復但影響不大的問題。二、 缺陷描述軟件缺陷的描述是軟件缺陷報告的基礎部分，也是測試人員就一個軟件問題與開發工程師交流的最好機會。一個好的描述，需要使用簡單的、準確的、專業的語言來抓住缺陷的本質。否則，它就會使信息含糊不清，可能會誤導開發人員, 因此，正確評估缺陷的嚴重程度和優先級，是項目組全體人員交流的基礎。缺陷描述的原則：有效的缺陷描述有以下幾個原則：可以重現：在缺陷的詳細描述中提供精確的操作步驟，可以讓發人員容易看懂；定位準確：缺陷描述準確，不會引起

3、誤解和歧義；描述清晰：對操作步驟的描述清晰，易于理解，應用客觀的書面語，避免使用口語；完整統一：提供完整、前后統一的軟件缺陷的步驟和信息，按照一致的格式書寫全部缺陷報告，有關缺陷的格式參見“缺陷的格式”；短小簡練：通過使用關鍵詞，可以使問題摘要的描述短小簡練，又能準確解釋產生缺陷的現象。如“在新建任務窗口中，選擇直接下達，負責人收不到即時消息”中“新建任務窗口”、“直接下達”、“即時消息”等是關鍵詞； 特定條件：許多軟件功能在通常情況下沒有問題，而是在某種特定條件下會存在缺陷，所以軟件缺陷描述不要忽視這些看似細節的但又必要的特定條件（如特定的操作系統、瀏覽器或某種設置等），能夠提供幫助開發人員

4、找到原因的線索。如“網站在IE7.0和IE8.0的兼容問題”；不做評價：在軟件缺陷描述不要帶有個人觀點，對開發軟件進行評價。軟件缺陷報告是針對產品、針對問題本身，將事實或現象客觀地描述出來就可以，不需要任何評價或議論。1. 缺陷的格式：提交一條缺陷后，最好能夠再檢查一遍缺陷格式是否有問題。常見的格式問題如下：問題摘要中不能有句號；問題摘要后不要有空格，直接填寫內容；問題摘要比較長時，可以用“，”分隔；詳細描述中序號后面“. ”一定是半角的宋體，不是全角符號，并且后面不要再有空格；詳細描述中分號一定要使用全角的分號；詳細描述中的“->”應統一。應在英文輸入法的半角狀態下輸入箭頭； 注意缺陷

5、中不要出現錯別字，例如“登陸”應寫為“登錄”。2. 缺陷描述常見的問題：問題摘要過長，不夠簡練、準確；問題摘要與詳細描述的內容不一致；詳細描述不清楚，無法復現；詳細描述冗長，不宜于理解；缺陷定位不正確；缺陷等級定位錯誤；缺陷的類型定位不正確；不是缺陷。1. 缺陷跟蹤缺陷的提交人，實時跟蹤缺陷狀態，對開發人員提出的疑問，及時作出回答； 及時更新缺陷狀態。 缺陷優先級會涉及從Critical 到Trivial ，嚴重程度等級會涉及從S1到S5。 一般地，嚴重程度高的軟件缺陷具有較高的優先級，但是嚴重程度和優先級并不總是一一對應。有時候嚴重程度高的軟件缺陷，優先級不一定高，甚至不需要處理，而一些嚴重

6、程度低的缺陷卻需要及時處理，反而具有較高的優先級。例如，公司名字和軟件產品徽標是重要的，一旦它們誤用了，這種缺陷是用戶界面的產品缺陷，并不影響用戶使用。但是它影響公司形象和產品形象，因此這也是優先級高的軟件缺陷。通常功能性的缺陷較為嚴重，具有較高的優先級，而軟件界面類缺陷的嚴重性一般較低，優先級也較低。但實際上，優先級和嚴重程度是有聯系也有區別。嚴重程度高的，必然優先級也要高，但優先級高的，嚴重程度卻并非也一定高。61. 功能性：1）S1級/Critical導致系統崩潰：執行正常操作或者誤操作后，導致整個系統，或者大部分模塊無法正常使用： 導致死機：執行正常操作或者誤操作后，導致死機：主業務流

7、程出現斷點：業務流程可以分為主業務流程和一般業務流程，是根據功能在流程中的重要程度進行區分的，例如在 OA 辦公系統中，發文后無法收文應該是主業務流程的問題，收文后歸檔存在問題，則是流程的一個分支，屬于一般業務流程：7 出現不可挽救的數據丟失或損壞；內存泄漏；2）S2級/Blocker：發現影響被測模塊正確運行的嚴重問題；導致程序模塊丟失或未實現：執行正常操作或者誤操作后，導致部分模塊丟失，或者某個模塊功能未實現： 被測數據處理錯誤：如果數據處理錯誤導致模塊級的問題，或者對系統的影響重大，例如下例中職工住房補貼重要的數據計算出錯，缺陷的等級應該是S2；如果數據錯誤造成的影響不大，則可以定義為S

8、3； 軟件錯誤導致數據丟失：8 用戶需求未實現：沒有實現用戶需求規格說明書或者特定文檔中規定的功能： 一般業務流程出現斷點： 異常退出：執行正常操作或者誤操作后，系統異常退出： 3）S3 級：發現影響被測功能正確實現的問題；功能未實現：某項功能點的功能沒有實現，例如點擊某個按鈕系統沒有響應、設置某項功能后無效、無法執行某項操作等等：9 功能實現不正確；10 數據處理錯誤，但對系統的影響不大； 鏈接頁面不正確； 4）S4級：一般性的錯誤或功能實現有不完善處；一般性的錯誤：通常不會影響用戶正常使用，具體缺陷描述參見下例： 功能實現有不完善處 5）S5級：建議性問題。 2. 可靠性：需要指出的幾個問

9、題：對于執行某項操作異常退出的問題，缺陷類別均提交為可靠性，在填寫原始記錄時，在功能性中可以引用此條缺陷。數據校驗問題，如果由于該數據未作校驗，而且對系統其他功能未造成影響的，該缺陷提交為可靠性，在填寫原始記錄時，在功能性中可以引用此條缺陷。如果由于數據校驗問題造成了系統某項功能不能實現或功能實現有誤，則該條缺陷提交為功能性，填寫原始記錄時，在可靠性中可以引用此條缺陷。1 成熟性：系統崩潰屬于S1級別，異常退出和數據丟失一般屬于S2級別的問題；使用的容量達到規定的極限時, 系統不崩潰、不異常退出也不丟失數據； 試圖使用的容量超出規定極限時，系統不崩潰、不異常退出也不丟失數據； 產品描述中列出的

10、其他程序或用戶造成的錯誤輸入時，系統不崩潰也不丟失數據；輸入用戶文檔中明確規定的非法指令時，系統不崩潰也不丟失數據； 不會因掉電、異常退出、網絡異常中斷等原因而使軟件或數據遭到破壞。 2 容錯性能屏蔽用戶的誤操作； 對錯誤有正確提示； 輸入錯誤數據時，系統不崩潰、不異常退出也不丟失數據； 16 有錯誤操作時，系統不崩潰、不異常退出也不丟失數據。 3 易恢復性系統運行失效后，應能較快重建系統。 4 數據校驗機制：數據校驗的問題一般是S4級別。應對數據項之間的邏輯關系進行校驗，保證數據的有效性；17 應保證數據的完整性和一致性，不會因刪除或反復的更新而被破壞或留下垃圾數據； 對不符合要求的輸入數據

11、，系統應使用中文給出簡潔、準確的提示信息，必要時應給出幫助。 18 3. 易用性：首先要說明的幾個問題：易用性缺陷的級別一般是S4和S5；任何提示信息（或頁面顯示）有錯、有誤或不正確的詞語出現時，首先一定是功能性的缺陷；頁面風格不一致、提示信息不易理解、提示信息不明確、不符合用戶習慣等“不易理解、不易瀏覽、不易操作”的問題才是易用性的；既屬于功能又屬于易用性的缺陷，在填寫原始記錄時需要同時引用。1 易理解性通過選擇適當的術語、圖形表示、背景信息和幫助，幫助用戶理解、使用； 出錯消息中提供差錯產生的原因和糾正的詳細信息。19 2 易瀏覽性數據媒體具有產品標識，可辨別編號或文本； 具有必要的信息，

12、指導用戶使用程序； 輸入、輸出設計規矩，輸出結果應簡潔、直觀、美觀、方便閱讀、易懂和使用；20 人機界面簡潔、美觀、實用，風格相對一致，符合辦公習慣； 在界面、人機交互、輸出中的用語應與業務用語一致。 3 易操作性具有嚴重后果的功能執行可逆，或者給出明顯警告，執行前要求確認：特別是數據的刪除和重寫，以及中斷一個過長的處理操作，這種動作往往有嚴重后果；21 軟件操作簡便，系統支持標準的鼠標、鍵盤操作，支持鼠標的單擊、雙擊和右鍵操作，支持快捷鍵操作； 提供輔助輸入手段（如選擇輸入、默認值等），數據檢索方便、靈活； 安裝參數應當給出默認值或提示，需要用戶干預的地方應盡量少，操作22方便；根據用戶熟練

13、程度（外行、初學、熟練）和使用頻度，能提供不同的操作方式或用戶界面。4. 可維護性1 易分析性系統可以正確判斷缺陷或失效原因；對于軟件運行錯誤，應當提示清晰，為用戶和系統管理員自己解決問題提供可能。2 易改變性對相關配置文件、庫、表的參數可以提供方便的修改；對于非程序內部錯誤，由數據元素屬性設置、控制規則不當而引起的軟件運行錯誤，軟件應為系統管理員提供自行修正的手段；軟件應充分考慮在設計環境與適用范圍下不同用戶的要求，為用戶進行本地化配置提供手段。3 穩定性系統在測試過程中運行穩定：執行正常操作導致異常退出、數據丟失或者系統崩潰。 23 5. 可移植性1 適應性：在測試期間系統能夠正常使用，一

14、般就能夠說明可以適應性不同帶寬和和不同的網絡運行狀態；系統應能適應不同帶寬的網絡；系統應能適應不同的網絡運行狀態。2 兼容性軟件（如：操作系統、數據庫、辦公套件、打印機、WEB 服務器等）兼容性。 24 6. 中文特性1 中文顯示 對話框、菜單、圖標、窗口等界面：界面中存在錯別字或者亂碼； 信息提示，幫助文檔符合中文使用習慣：例如錯別字的問題。 2 漢化程度系統全部中文漢化。25 3 編碼支持程度支持GB 2312 編碼；支持GB 13000.1 編碼；支持GB 18030 編碼。 7. 安全性1 身份認證用戶權限管理 提供客戶端用戶身份識別 提供用戶功能權限管理 提供用戶數據訪問權限管理 授

15、權（功能授權、數據授權）機制是否靈活安全驗證控制 身份驗證不成功有次數限制及相應處理措施用戶唯一：l l 用戶名稱應具有唯一性； 用戶在被刪除或被停用后，保留該用戶記錄，新增用戶不得與該用戶 同名。 問題摘要：關于用戶唯一性問題 嚴重程度等級：S3 詳細描述： 用戶名稱不具有唯一性，可以添加 2 個同名的用戶；用戶在被刪除或被停用 后，沒有保留該用戶記錄。 Ø 電子簽名 l 對電子簽名進行驗證 Ø 客戶端用戶身份識別 l 是否提供USBkey加密驗證、提供數字證書驗證或提供其他加密驗證 方式 問題摘要：利用 CA 登錄后登錄頁面被更改 嚴重程度等級：S4 詳細描述： 1.通

16、過頁面“/bjccmis/login.aspx”，使用 CA 登錄系 統； 2.成功登錄系統，登錄頁面被更改為“/bjccmis/ Index.aspx”。 2 數據加密及安全傳輸 Ø 對于有特殊安全要求的數據，應在傳輸中進行必要的加密處理 Ø 提供數據的安全可靠傳輸，支持斷點續傳、屏蔽線路瞬間故障和主機故 障 Ø 數據加密使用的算法應符合國家規定 3 安全缺陷屏蔽 Ø 對非法訪問有識別和屏蔽功能 26 問題摘要：系統沒有進行必要的安全屏蔽，可以看到部署的文件列表 嚴重程度等級：S3

17、 詳細描述： 環衛系統、戶外廣告、綜合整治系統沒有進行必要的安全屏蔽，例如：輸入 1:8080/zhzz/acl/list_function.jsp ， 刪 除 list_ function,jsp 信息，可以進入 acl 目錄列表，瀏覽到部署的文件列表，存在 安全隱患。 問題摘要：通過歷史記錄可以直接訪問功能模塊 嚴重程度等級：S3 詳細描述： 打開一個空白頁面，輸入一個歷史的 URL 地址，例如： http:/172.24. 138.9:6060/zygl/application/Content/report/linkman_listiframe.asp

18、x ，可以進入聯系人列表界面，系統沒有屏蔽這種非法訪問方式。 Ø 授權（功能授權、數據授權）機制是否靈活安全 Ø 軟件程序本身不存在可能引起安全缺陷的語句、命令 4 日志和審計 Ø 對關鍵數據的變更應記入日志 問題摘要：部分系統沒有日志功能 嚴重程度等級：S4 詳細描述： 地下管線、供熱管理、系統管理、戶外廣告、綜合整治和小衛星系統沒有日志記 錄的功能。 Ø 對日志信息進行查詢、統計、分析和分類管理 Ø 提供安全審計功能 5 密碼設置 Ø 進入系統需要密碼身份驗證 問題摘要：不輸入用戶名和密碼，通過刷新頁面可以登錄系統 27 嚴重程度

19、等級：S2 詳細描述： 1.以“數字市政總”身份登錄系統，關閉登錄后的頁面，此時登錄頁面的用戶名和 密碼為空； 2.在登錄頁面，不輸入用戶名和密碼，點擊“刷新”按鈕，可以直接登錄到系統， 存在嚴重安全隱患。 Ø 應有密碼設置策略，包括有效期、最小長度、復雜度、非空設置、大小 寫敏感度等 Ø 所有的密碼不得明碼顯示、存儲與傳輸 問題摘要：用戶密碼明文顯示 嚴重程度等級：S3 詳細描述： 在系統人員管理中，將用戶密碼進行明文顯示，這樣存在很大的安全隱患。 6 數據備份與還原 Ø 是否提供數據備份與還原手段 7 超時自動退出 Ø 超過一定的時限未進行操作，系統自動退出 問題摘要：系統超時后，沒有自動返回到登錄頁面 嚴重程度等