前端测试与安全

会议室:沙龙2
出品人:张杰

随着移动设备的普及,兼容性和性能测试正在逐渐成为前端测试面临的两大挑战,我们该如... 展开 >

专题出品人:张杰

美团App 客户端测试团队负责人

张杰,美团测试专家,GMTC2019(北京)“质量保证”专场出品人。曾就职于搜狐、百度、搜狗等知名互联网企业。从业十余年,先后带领过后端、移动端、Web端等多个方向的测试团队。目前专注于前端质量保障和研发效率提升两个方向。

地点:沙龙2

专题:前端测试与安全

随着移动设备的普及,兼容性和性能测试正在逐渐成为前端测试面临的两大挑战,我们该如何应对和解决?而前端代码主要运行在客户设备上的特性,各种安全性挑战又层出不穷,稍有不慎就可能会给用户带来巨大的损失。我们又该如何跨越这种障碍?本专场关注前端测试和安全领域,希望能够通过各位行业专家的分享,为你提供解决问题的思路。

by 图南

奇安信
安全研究员
GraphQL 与 GraphQL 安全

GraphQL 作为下一代 Web API 技术,被越来越多的开发者用在生产环境中,但因为 GraphQL 和 RESTful 在开发思路上的不同,很容易让开发者忽视它的安全问题。本次演讲会对 GraphQL 进行一些简介,主要从开发的角度讲解使用 GraphQL 容易出现的安全问题。

1.  GraphQL 简介

    (1) 初识 GraphQL
    (2) GraphQL 核心组成部分
    (3)  GraphQL VS. RESTful

2.  GraphQL 安全问题

    (1)  身份认证与权限控制不当
    (2)  GraphQL 身份认证无效
    (3)  GraphQL 身份认证无效解决方案
    (4)  GraphQL 身份认证无效与权限控制不当的并发症
        并发症一:内省导致的信息泄露
        并发症二: 非预期的字段
        并发症三:“废弃”的字段
    (5)  GraphQL 注入解决方案
         拒绝服务
         拒绝服务解决方案

3.  结语

听众收益:

1.  了解前沿技术 GraphQL 优势和 RESTful API 的不同
2.  对 GraphQL 易发的安全问题有所了解并在今后开发过程中避免此类问题
3.  对漏洞产生的原理触类旁通,避免类似问题

知识储备:

1.  JavaScript 基础知识
2.  HTTP 相关知识
3.  对常见 Web 安全漏洞有一点了解

by 邱立楷

百度
资深测试开发工程师
百度智能小程序自动化测试技术实践和应用

随着小程序的兴起,如何去开展小程序的自动化测试便成为了一个值得思考的问题。

百度智能小程序期望建设一个开源开放的小程序生态,让联盟伙伴都可以在自己的 APP 上运行起智能小程序。那么,如何去发展小程序自动化测试技术,来保障整个开源开放的小程序生态的质量?通过自动化测试技术手段提高兼容性测试、功能回归等的效率,便成为了我们重点考虑的问题。

本次分享将会以百度智能小程序自动化测试引擎的介绍为起点,详细介绍它在百度小程序生态质量保障、自动化测试能力赋能等方面的实践,包括:百度小程序的一致性兼容测试、云测试以及用例真机录制回放等内容。希望给关注小程序自动化技术的与会者带来思路上的拓展和帮助。

演讲提纲:

1.  百度智能小程序自动化测试引擎的设计实现原理和应用
2.  百度智能小程序基于真机的用例录制回放工具在兼容性测试上的应用实践
3.  基于真机云测试的百度智能小程序生态质量管控实践

听众收益:

1.  了解百度小程序自动化测试技术的全貌和设计实现原理
2.  迅速地入手开展百度小程序的自动化测试
3.  有效降低小程序、前端、端兼容性能测试成本的测试工具的设计思路及应用进展

前沿亮点:

百度小程序自动化测试引擎的设计思路

知识储备:

对客户端或前端有一定知识背景

by 樊东东

腾讯
高级 Web 前端工程师
基于 Proxy 的代码执行监听与上报

后端有全链路监控,能分析出模块之间的调用情况,前端一般日志打点、收集、上报,都是面条式的日志。在前端 SDK 的执行过程中能否收集更多更全面的信息,如 API 及回调函数的附属关系,API 和 API 间的上下文关系。

利用 Proxy 代理 SDK 暴露出去的对象,递归 Hook API 及 API 的结果,收集属性 get、set、API 调用、回调函数执行情况等。直观看到 API 在业务代码中的执行情况,收集调用信息方便编写测试案例等。

演讲提纲:

1.  背景介绍

    SDK调用日志零散

2.  方案选型

    (1) 传统打日志方式
    (2) Proxy 对比 defineProperty

3.  Proxy 介绍

    (1) 能否替代原对象
    (2) 能收集哪些信息
    (3) 性能对比

4.  链路信息
    (1) API 结果
    (2) 参数处理
    (3) 回调函数
    (4) 上下文

5.  可视化

听众收益:

1.  加深对 Proxy 的理解
2.  前端 SDK 基于 ES6 Proxy 的深度日志收集
3.  方便编写测试用例
4.  腾讯小程序前端测试案例

前言亮点:

前端 SDK 的日志全链路

知识储备:

1.  ES6 基础知识
2.  Proxy
3.  日志上报

by 徐达峰

蚂蚁金服
前端技术专家
大前端测试的思考和在语雀的实践分享

随着互联网技术的演进发展,自动化、效率、性能等逐渐成为大前端面临的挑战,面对测试中的种种问题,我将以语雀技术栈为主,结合工作中的经验来详细介绍,比如 Web 编辑器、移动端 Web 应用、全栈应用、测试工具等几个技术方向,也包括不同选型的差异和实践中遇到的问题、踩过的坑,以及解决方案。

演讲提纲:

1.  语雀技术栈的测试方案

     (1) Web 编辑器如何做质量覆盖
     (2) Web 全栈应用的测试的痛点和演进

2. 社区之路

    (1) 2019版 UIRecorder 的新特性
    (2) 去中心化的场景编排 mock 方案

3.  前沿探索

    (1) 自动化推导生成
    (2) 计算机视觉方案在端测试的实践
    (3) 基于语言分析的自动化探索

听众收益:

1.  大前端不同技术栈选型的测试方案如何抉择

2.  对下一代端自动化测试的思考

前沿亮点:

1.  语雀实战经验分享

2.  新思路分享

 

交通指南

© 2020 Baidu - GS(2019)5218号 - 甲测资字1100930 - 京ICP证030173号 - Data © 长地万方
本网站图片存储由七牛云独家支持