Один маленький шаг для тестировщика: топ-10 докладов Heisenbug 2019 Piter

Привет! Выкладываем подборку отличных докладов о тестировании и обо всём, что его окружает. Оценки посетителей Heisenbug 2019 Piter определили лучшие доклады этой конференции, из которых вы узнаете, например:

• Может ли один тестировщик изменить всю компанию;
• Что происходит с тестированием при переходе стартапа в статус большой корпорации;
• Как правильно интегрировать платежные системы, чтобы не разорить компанию;
• Почему и как нужно проверять тех, кто проверяет;
• Как найти дыры в проекте, которыми могут воспользоваться хакеры;
• Что общего между тестированием и анализом данных.

Также мы подготовили плейлист с лучшими видеозаписями докладов. Поехали!

Move fast and don't break things

Спикер: Юрий Дымов
Место: 10
Презентация доклада ^[1]

На ранних этапах стартапы из Долины следуют принципам move fast and break things (если ничего не ломается — значит, недостаточно быстро развиваешься). Но если стартап вырос, разработчиков теперь сотни, а стоимость ошибки — миллионы, компания начинает уделять внимание качеству гораздо больше времени.

Например, глобальный отказ систем Uber на два часа стоил компании несколько десятков миллионов долларов, после чего компания полностью перестроила процесс разработки и тестирования на всех уровнях — бэкенд перепилили на микросервисы, а мобильные приложения были переписаны с нуля. Доклад Юрия как раз о том, как Uber тестирует новые мобильные приложения на базе архитектуры Presidio и каким образом можно автоматизировать тестирование на iOS.

Pandora: нагрузочные тесты в виде кода

Спикер: Алексей Лавренюк
Место: 9
Презентация доклада ^[2]

На прошлых Heisenbug Алексей представлял проекты Яндекс.Танк и Яндекс.Вольта, а теперь вернулся с докладом про Pandora — «пушку для Яндекс.Танка». Это опенсорсный генератор нагрузки, написанный на Go — можно «стрелять» как из готовых пушек, так и сооружать свои собственные орудия-сценарии.

В своём докладе Алексей расскажет, как устроена Pandora, как написать для неё сценарий прямо перед стрельбой, сконфигурировать под конкретный сервис, запустить, а после автоматизации нагрузочных тестов собирать мониторинг и получать красивые отчеты.

Тестируем платные сервисы: как перестать запускать самолет, чтобы проверить лампочку на приборной панели

Спикер: Владимир Солодов, Виктор Короневич
Место: 8
Презентация доклада ^[3]

Двойной доклад на важную для многих тему платежных систем. Виктор и Владимир расскажут о том, как правильно интегрировать платежные агрегаторы, на какие подводные камни можно с легкостью натолкнуться и как их избежать. Фактически, доклад можно расценивать как инструкцию со схемами, проблемами, решениями и выводами по каждому вопросу.

Также они на примере App Store затрагивают проблему нестабильно работающих песочниц и способы её решения таким образом, чтобы не успеть разориться во время тестов.

Ускоряем Apache JMeter

Спикер: Вячеслав Смирнов
Место: 7
Презентация доклада ^[4]

У Apache JMeter есть проблема, которую решают далеко не всегда — скорость работы нагрузочных скриптов, что может серьезно повлиять на проект, где нужна высокая нагрузка.

Доклад Вячеслава, испытавшего на себе всю боль оптимизации тестов, посвящен подходам к оптимальному написанию скриптов, которые позволяют сэкономить на нагрузочных машинах и по-новому посмотреть на оптимизацию кода. По словам одного из слушателей, лекция буквально пропитана кровью, потом и литрами выпитого по ночам кофе и сможет помочь обойти минное поле из граблей в нагрузочном тестировании.

Рекон и сбор скоупа перед тестированием на проникновение

Спикер: Игорь Лырчиков
Место: 6
Презентация доклада ^[5]

Одной из особенностей этого Heisenbug стало множество докладов о безопасности — в топ вошло два. Первый помогает получить представление о recon («разведке») — первом шаге, который совершают хакеры или пентестеры для совершения хакерской атаки на продукт или компанию.

Игорь подробно рассказывает о том, как собирать максимум информации об инфраструктуре для определения уязвимых для хакеров мест атаки и проведения тестирования на безопасность, способах автоматизации этих действий на любом скриптовом языке и уже готовых решениях. Смотрите доклад и проверяйте свои продукты!

Многим рассказ запомнился вступлением в духе шпионских триллеров: «заказчики нанимают нас, чтобы мы попытались взломать их систему разными способами, вплоть до проникновения в здание под видом чистильщиков бассейна».

Тестирование тестов

Спикер: Никита Соболев
Место: 5
Презентация доклада ^[6]

Крылатая латинская фраза «Quis custodiet ipsos custodes?», означающая «Кто устережёт сторожей?», особенно актуальна в тестировании. И в этом докладе — практический разговор о проверке тех, кто проверяет тесты! Проблема стара как мир: разрабатывается код, к нему пишутся крутые тесты, а всё равно всё падает в проде. Никита же предлагает использовать мутационное тестирование.

В докладе, покорившем множество слушателей, он объясняет теоретическую основу и раскладывает всё по полочкам: как и зачем тестировать тесты, показывает, какие есть инструменты, на примере Python, честно рассказывает о проблемах их внедрения.

Modern web testing and automation with Puppeteer

Спикер: Andrey Lushnikov
Место: 4
Презентация доклада ^[7]

Классика Heisenbug: рассказ о популярном инструменте для тестировщиков от того, кто за этот инструмент и отвечает. Андрей занимает первую строчку в списке контрибьюторов ^[8] Puppeteer, и считает, что за этим инструментом будущее веб-тестов и автоматизации.

Он объясняет принципы работы библиотеки, рассказывает, почему она такая быстрая, демонстрирует в бою и показывает свежий прототип Puppeteer for Firefox. Хороший доклад для тех, кто хочет узнать подробнее об одном из популярных и полезных API для автоматизации тестирования.

Эффективный поиск XSS-уязвимостей

Спикер: Иван Румак
Место: 3
Презентация доклада ^[9]

Второй security-доклад в топе — о Cross-Site Scripting, по-прежнему стабильно входящей в топ-10 самых опасных атак на веб-приложения. Поэтому рассказ от эксперта одновременно и интересен, и полезен.

Иван в докладе рассказывает о сути уязвимости и делится своей методикой поиска, с помощью которой только за последний год нашел 54 XSS-бага в программах поиска уязвимостей, причем некоторые были у Mail.ru, «Яндекса» и QIWI.

Доклад одинаково подойдет как новичкам, так и тех, кто в теме: всегда полезно узнать о потенциально уязвимых частях веб-приложений и научиться искать косяки в XSS с помощью универсального payload.

Changing your organization's testing culture

Спикер: Jim Holmes
Место: 2

Презентация доклада ^[10]

Инструменты и техники можно изучать сколько угодно, но если в большой компании есть проблемы с культурой тестирования — ничего не поможет. Что в таком случае делать? Может ли на проблему повлиять обычный тестировщик, не возглавляющий компанию? На этот глобальный вопрос отвечает Джим Холмс в своём кейноуте, лозунгом которого можно сделать «один маленький шаг для тестировщика и огромный скачок для всей компании».

Джим рассказывает о том, какие проблемы вообще типичны для крупных компаний, как с этим жить и как бороться на простых примерах компаний, в которых работал за свою долгую карьеру. Вы узнаете о практических подходах, которые помогут изменить культуру тестирования в компании независимо от её размера, научитесь объяснять свои идеи, поймете как влиять на бизнес-цели и увидите, как часто и сокрушительно могут ошибаться руководители.

А в качестве бонуса с докладу — можете почитать наше большое интервью ^[11] с Джимом о культуре тестирования.

Quis custodiet ipsos custodes? Что общего между тестированием и анализом данных

Спикер: Иван Ямщиков
Место: 1

Мы в этом топе уже упоминали фразу «Quis custodiet ipsos custodes?» — а тут она прямо в названии. Вновь в топе Heisenbug докладчик, чья основная деятельность не связана с тестированием, но за счет яркого материала и очень нестандартного подхода оставляет отличные впечатления и служит хорошим напоминанием «коллегам по цеху» об общих целях и ценностях профессии.

В закрывающем кейноуте Иван на примерах демонстрирует, насколько прочно связаны, но при этом сильно отличаются между собой задачи обеспечения качества и анализа данных. Например, вы узнаете, что общего между переобучением модели и жесткими системами контроля качества, почему нужно помнить о критическом рационализме тем, кто работает с реальными данными и как правильно формулировать гипотезы и требования к задачам анализа данных.

Возможно, для некоторых это будет первое столкновение с миром machine learning, после которого захочется во всём разобраться самому.

Если десятки вам не хватило — даём ссылку ^[12] на более полный плейлист прошедшего Heisenbug. И есть кое-что ещё лучше: 5-6 декабря пройдет следующий Heisenbug 2019 Moscow. Программа в целом уже готова ^[13] — и тем, кто ещё не определился «идти ли», самое время это сделать (цена билетов постепенно повышается).

Автор: Евгений Трифонов

Источник ^[14]