HP软件质量管理解决方案---销售白皮书

目录应用生命周期管理平台（ApplicationLifecycleManagement）...........................................1自动化功能测试工具（UnifiedFunctionalTesting）.............................................................4自动化性能测试工具（LoadRunner+HPDiagnostics）........................................................5源代码安全漏洞扫描工具（FortifySCA）.............................................................................7Web应用安全评估工具（WebInspect）...............................................................................9应用生命周期管理平台（ApplicationLifecycleManagement）简介HPALM是老牌产品QC(QualityCenter)的升级版。HPALM能够帮助用户有效的管理日常的测试工作。它是一个用于规范和管理日常测试项目工作的平台，将管理不同开发人员，测试人员和管理人员之间的沟通调度，项目内容管理和进度追踪。而且，HPALM是一个集中实施、分布式使用的专业的测试项目管理平台软件，可以在用户内进行多项目的测试的协调。通过在一个整体的应用系统中提供并且集成了测试需求管理，测试计划，测试日程控制以及测试执行和错误跟踪等功能，极大地加速测试过程。建立测试项目之后，首先根据用户的业务功能需求和性能需求，建立相应的测试需求，即建立测试的内容；接着，根据测试需求设计生成测试计划，并反向考察测试计划对测试需求的覆盖率；然后，由测试计划安排和运行测试，根据运行结果来修改测试计划；最后，在测试全过程中的所有缺陷信息，由缺陷跟踪模块记录和管理。主要功能模块1.项目管理（项目计划和跟踪、发布管理、报表）2.需求管理（业务需求和测试需求、业务模型管理）3.测试计划（测试案例管理）4.测试运行（测试任务调度、执行和审计）5.缺陷管理（系统缺陷的集中管理和流转）6.项目自定义（后台的客户定制化平台，包括客户化字段和工作流的自定义）计费方式按照在线使用的用户数计算（最少采购5个）业界地位国际著名分析机构Gartner在2009年的测试管理魔方图中显示HP的测试管理工具具有绝对的领导地位。来自YankeeGroup最新的市场份额图表显示，HP的QC在企业级测试管理领域第一，占61.7%。国内权威测试网站51Testing.com在《2011年中国软件测试从业人员调查报告》中指出“软件测试从业人员最常使用的测试管理工具依然为QC/TD，所占比例为42%。”。自动化功能测试工具（UnifiedFunctionalTesting）简介HPUFT自动化功能测试工具，HP是一种企业级的用于检验应用程序是否如期运行的功能性测试工具。通过自动捕获，检测和重复用户交互的操作，能够辨认缺陷并且确保那些跨越多个应用程序和数据库的业务流程在初次发布就能避免出现故障，并且保持长期可靠运行。HPUFT可以覆盖绝大多数的软件开发技术，简单高效，并具备测试用例可重用的特点。自动化功能测试克服了手工测试难于重复的缺点，同时具有很高的可靠性。可以覆盖大部分的系统测试，减少人为错误，可以让测试人员集中精力提高效率来专注新模块的测试。主要功能模块1.GUI自动化测试（源于HPQTP的功能，针对有界面的系统进行自动测试）2.API自动化测试（源于HPServiceTest的功能，针对无界面的系统进行自动化测试，包括WebService、JavaAPI等）计费方式按照在线使用的用户数计算（最少采购2个）支持的开发技术：GUI技术包括：.Net,ActivceX,Delphi,Flex,Java,Oracle,PeopleSoft,PowerBuilder,QT,SAP,Siebel,Stingray,TerminalEmulators,VisualBasic,VisualAgeSmalltalk,Web,Silverlight等API技术包括：HTML,WSDL,REST,JMS,Java,WS-Security,.NETframework等业界地位国内权威测试网站51Testing.com在《2011年中国软件测试从业人员调查报告》中指出“软件测试从业人员最常使用的功能自动化测试工具为QTP，所占比例为52%”。注：WinRunner是HP早期的功能自动化测试工具，之后合并到了QTP产品。现在QTP已经合并到UFT产品。所以HP在功能自动化测试工具的实际市场份额为59%。相比之下，IBM的RFT产品在国内仅仅占3%的市场份额。自动化性能测试工具（LoadRunner+HPDiagnostics）简介HPLoadRunner是一种预测系统行为和性能的负载测试工具。通过以模拟上千万用户实施并发负载及实时性能监测的方式来确认和查找问题，LoadRunner能够对整个企业架构进行测试。通过使用LoadRunner，企业能最大限度地缩短测试时间，优化性能和加速应用系统的发布周期。LoadRunner是一种适用于各种体系架构的自动负载测试工具，它能预测系统行为并优化系统性能。HPDiagnostics是HP性能中心的组成部分之一。系统上线前，一般都需要进行有效的性能测试，而性能测试通常只能给出系统级性能分析，无法告诉客户应用级性能问题究竟在哪里。当上线后事务响应变慢，传统的性能测试工具无法了解究竟是那个METHOD，或者是SQL语句性能低下。性能瓶颈究竟在哪里？HPDiagnostics™专门为解决这类问题而设计，深入诊断应用程序中的性能问题，了解真实性能瓶颈。主要功能模块1.虚拟用户生成器（用于捕获最终用户业务流程和创建自动性能测试脚本，也称为虚拟用户脚本）2.控制器（用于组织、驱动、管理和监控负载测试）3.诊断工具（作为控制器的一部分，用于源码级性能问题监控和诊断）4.负载产生器（用于通过运行虚拟用户生成负载）5.测试结果分析器（有助于您查看、分析和比较性能结果）计费方式1.控制器按照个数计算（一般采购1个）2.协议组按照对应的虚拟用户数计算（具体协议组见下）3.诊断工具Diagnostics按照OS个数计算（可选，用于JEE,.Net,SAP,Siebel应用）示例：1个控制器+Web2.0协议组500个虚拟用户+2个Diagnostics支持的协议：业界地位来自YankeeGroup最新的市场份额图表显示，HP的LoadRunner在企业级性能测试领域第一，占68%。国内权威测试网站51Testing.com在《2011年中国软件测试从业人员调查报告》中指出“软件测试从业人员最常使用的性能测试工具为LoadRunner，所占比例为65%。与前2年相比，LoadRunner所占比例有逐年上升的趋势”。源代码安全漏洞扫描工具（FortifySCA）简介HPFortifySCA是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找从而将源代码中存在的安全漏洞扫描出来并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息还会有相关的安全知识的说明以及修复意见。HPFortifySCA的工作原理是，首先通过调用语言的编译器或者解释器把前端的语言代码如JAVA,C/C++源代码转换成一种中间文件(NormalSyntaxTree)，将其源代码之间的调用关系执行环境上下文等分析清楚。然后再通过上述的五大分析引擎从五个切面来分析这个NST匹配所有规则库中的漏洞特征一旦发现漏洞就抓取出来。最后形成包含详细漏洞信息的FPR结果文件用审计工作台打开查看。主要功能模块1.源代码分析器（5大核心分析引擎）2.安全检查规则包（HP提供在线的更新，用户也可以自定义。目前支持570多种安全漏洞定义）3.审计工作台（安全分析人员通过平台审计代码漏洞，提交漏洞报告）4.IDE插件（在IDE中调用HPFortifySCA）计费方式一套，包括对以下语言的支持，其中ABAP,COBOL,ColdFusion,Python这4种语言需要额外收费。支持的语言ABAP,ASP.NET,C,C++,C#,ClassicASP,COBOL,ColdFusion,Flex/ActionScript,Java,JavaScript/AJAX,JSP,Objective-C,PL/SQL,PHP,Python,T-SQL,VB.NET,VBScript,VB6,XML/HTML共21种编程语言业界地位HPFortifySCA是业界领先的源代码安全漏洞扫描和分析管理工具。目前全球范围市场份额最大，支持的开发语言和平台最多，拥有业界最庞大的安全编码规则包。HP于2009年收购FortifySoftware成为业界第一。以下是Gartner魔力象限图。Web应用安全评估工具（WebInspect）简介HPWebInspect软件是一款行业领先的Web应用安全评估软件，其可对如今复杂的Web2.0应用进行全面的分析。HPWebInspect解决了复杂的Web2.0问题，且能找到传统扫描程序无法发现的漏洞。HPWebInspect支持当今最复杂的Web应用技术，由于采用了突破性自动检测技术（包括SCA-SimultaneousCrawlandAudit和同步应用扫描），所以可以迅速、准确地发现Web应用的安全漏洞。主要功能模块1.网站抓取与分析引擎2.安全检查规则包（HP提供在线的更新）3.分析工作台（安全人员分析漏洞，提交漏洞报告）计费方式按照在线使用的用户数计算（一般采购1~2个）支持的主要安全漏洞分析数据注入和操作攻击ReflectedXSSPersistentXSS跨站请求伪造SQL注入SQL盲注缓冲器溢出整数溢出Log注入远程文件包含（RFI）注入服务器端包含（SSI）注入操作系统命令注入本地文件包含（LFI）会话与验证会话强度验证攻击（Authenticationattack）服务器与通用HTTP安全套接层（SSL）证书问题支持SSL协议支持SSL密码服务器配置不当目录索引与列举服务拒绝HTTP响应拆分Windows8.3文件名DOS驱动程序安装处理DoS（DOSdevicehandleDoS）标准化攻击URL改道攻击密码自动完成Cookie安全自定义模糊路径操纵－穿越路径截断（Pathtruncation）Ajax审计验证不充分会话有效期短（insufficientsessionexpiration）WebDAV审计Web服务审计文件列举信息泄露目录与路径穿越垃圾邮件网关检测强力验证攻击已知应用与平台漏洞业界地位在2011年Gartner动态应用安全测试魔力图中，HP被标识为Leader，出于业界领先地位。