一个平平无奇的研发测试，我是如何逆袭上位的？ – 作者:默安科技

我叫小何。本以为我的人生会一直平淡，没想到它的出现，让我走上了一条逆袭之路……

这天，小何按进度可以完成新上线功能的全部测试工作。除了功能测试，这期领导还要求小何试用新采购的IAST交互式应用安全测试工具，完成安全测试。

多亏工具省力，小何只需踏实做功能测试，工具会根据他的点击在后台自动完成安全测试。

测试完成后，除了输出功能测试报告，工具还会自动输出安全测试报告。

接着，他按照功能测试的反馈流程，协调研发和安全同事完成功能及安全问题的优化和修复。

数日后，小何被上级领导马总约去喝咖啡，要求汇报首次使用应用安全测试工具的效果。

小何神色骄傲地亮出一份发现问题和妥善解决所有问题的清单，得到了领导极大的肯定：“问题处理得的确到位，即使有些难以解决的问题，也从业务角度出发，尽可能平衡了安全性。”

小何被问得哑口无言。这款应用已研发数年，小何入职时也并没有拿到所有接口的清单。慌乱之中，决定采取缓兵之计。

小何说：“领导，我回去思考一下，看如何能够体现整个测试的覆盖度。”随后，小何找到了IAST供应商的对接人——小默。

小何没想到与供应商一拍即合，立即将IAST升级到最新版本。果然如小默所说，界面上可以清晰看到系统agent自动发现的所有API接口，以及已测试和下一步需要测试的接口列表，并可根据API地址直接搜索和定位。

经过该项目核心研发专家的检验校对，IAST 自动发现的API 覆盖范围远超出了内部曾大致统计过的API数量。

参照IAST发现的API接口列表，小何和团队参照重新做了一期测试，查漏补缺。完成测试后，小何带着更加完善的测试报告来到马总办公室，汇报通过工具的API自动发现功能，确保测试覆盖足够全面。

小何认真负责的工作态度、出色的沟通和解决问题的能力给马总留下了深刻的印象。因为此次工作表现，小何被提拔为测试主管……

————————–讲正事专用分割线————————-

雳鉴IAST

API自动发现

根据大量用户的使用反馈，雳鉴IAST于近日率先推出API自动发现功能，用于解决无法获知测试覆盖率的普遍痛点。

测试覆盖率，是评价测试完整性的重要度量标准之一，也是安全测试效果的重要保障因素，由测试需求和测试用例的覆盖或已执行代码的覆盖来表示。在传统安全测试领域，一般通过爬虫技术获取接口信息，但这种技术存在天然缺陷，比如在前后端分离应用中无法较好地获取到应用全量的开放接口。

雳鉴IAST API自动发现功能能够解决传统技术的弊端，通过运行在应用内部的插桩Agent，稳定高效地获取到应用对外的API接口。通过这项功能，用户可以在雳鉴服务端直观查看应用所有接口，以及已测试和下一步需要测试的接口列表，做到安全测试有条不紊、心中有数！

来源：freebuf.com 2021-06-30 10:24:52 by: 默安科技