esmaspäev, 22. mai 2017

Ettevaatust! Satikad taskus!

Siinkohal ei pea ma silmas puuke, kes kevade saabudes välja ronivad ja inimestele kannatusi põhjustama hakkavad. Taskusse lähevad satikad hoopis koos sinu nutiseadmega, täpsemalt seal peal töötava tarkvaraga.
Tegelikult ei ole suurt vahet, kas tõrgub infosüsteem su arvutis, mobiilne veebileht, äpp telefonis või tahvlis - ühevõrra ebamugav on see nii või teisiti. Kasutajana sa läksid sinna mõnda vajalikku tegevust tegema, kuid tarkvara takistab sind eesmärgi saavutamisel.

Niisiis kehtivad mobiilitestimisel kõik "tavalise" testimise reeglid, aga on veel palju muudki, millega arvestada.

Lisakeerukus tuleneb näiteks nii seadme füüsilistest parameetritest, andmeühenduse olemasolust,  tüübist ja kvaliteedist kui ka erinevate platvormide rohkusest ja fragmenteerumisest. Kui ei usu, tee oma kontoris või sõpruskonnas küsitlus ja loe kokku, mitu erinevat seadet mitmelt erinevalt tootjalt mitme erineva operatsioonisüsteemi versiooniga, ekraani suuruse ja resolutsiooniga said.
Rääkimata sellest, et tavaarvutis toimetavat infosüsteemi üldjuhul ei patsutata ega raputata (gestures) ja samuti ei ole ohtu, et kasutaja nuppudele pihta ei saa (sest need on liiga väikesed või päikese käes liiga kehvasti nähtavad), samal ajal kui ta diivanil lesib või hoopis bussi peale jookseb. Arvutihiir on teatavasti suhteliselt täpne tööriist, erinevalt potentsiaalselt tömbist sõrmest.
Samuti tekib testimisele mõeldes põhjendatud küsimus, kas mul peavad kõikvõimalikud seadmed olemas olema, või kuidas ma muidu kontrollida saan, et ikka kõigi kasutajate telefonidel kõik õigesti toimib. Ja kui mu äpp on mõeldud kasutamiseks enam-vähem üle maailma, siis kuidas ma tean, et see Jaapanis ka töötab. Ja Uus-Meremaal.
Luban, et mobiilsete rakenduste testimisel (ja analüüsimisel, ja arendamisel) tekib hulk uus võimalusi ja kohustusi, mis tulenevad sellest, et testitav tarkvara .... käib kasutajaga kõikjal kaasas.

Erinevaid nüansse, soovitusi ja lahendusi on palju, kuid minu jaoks kõige olulisemad on järgmised:

1. Tunne oma kasutajat. Missugust seadet ta tõenäoliselt kasutab (pigem high- või low-end, platvorm) ja missuguses keskkonnas ta rakendust kasutab (kodus-tööl-puhkehetkel-elukriitilisel hetkel) ning loomulikult - mida kurja võivad võimalikud satikad talle põhjustada. Selle infoga saab juba üksjagu pihta hakata, et testimisele mõistlikud piirid seada nii testitavate stsenaariumide kui ka reaalsete seadmete vs emuleerimise taskaalu mõttes.
2. Ära unusta mobiilivaldkonna tüüpilisi nõudeid püstitada ja kontrollida. Mobiilses seadmes on võimalik kasutada asukoha, güroskoobi, kiirendusanduri jm füüsilise keskkonna anduritest saadavat infot. Samuti ei tasu unustada, et telefoni võiks lisaks äppimisele olla võimalik kasutada ka helistamiseks ja sõnumite saatmiseks. Ja et kasutajad üldjuhul solvuvad, kui äpp nende seadme aku 20 minutiga tühjaks imeb (loe: soojuseks muundab, nii et seadmel võib soovi korral liha grillida). 
3. Arvesta, et nii seadmed kui ka nende baastarkvara uuenevad kiiresti. See loob täiendava võimaluse ootamatute tõrgete tekkeks. Siinkohal võivad abiks olla mõistlikult automatiseeritud testid, mis aitavad kiirelt ja suhteliselt vähese vaevaga teada saada, kas tarkvara uuenenud platvormil ka ikka veel töötab. Kuna ka üle päeva veaparanduste saatmine kasutaja telefoni on nii kasutaja kui arendaja jaoks tüütu, siis on kõigile mugavam olulisi vigu mitte toodangusse lasta. Pea aga meeles, et automatiseerimine on vaid osa heast testistrateegiast - mobiilimaailmas on oi-kui-palju nüansse, mille headust saab hinnata vaid inimene (vt punkt 1).

Head mobiilset testimist! 

Sõltumata aastaajast, ära lase satikaid iseenda ja oma klientide taskusse!

teisipäev, 11. aprill 2017

Retsept tervisliku koogi ja tervisliku tarkvara valmistamiseks


ASAs on saabunud kevade puhul tervisliku koogi väljakutse. Me armastame kooke ja sööme neid aastaringselt, aga väikese vahelduse mõttes... kokkuvõetult tähendab see, et igal nädalal järgneva 8 nädala jooksul valmistab üks meist kolleegidele tervisliku koogi. Missugune kook on "tervislik", selles me ühele meelele ei jõudnudki, aga igaüks võib sellele oma lähenemise välja pakkuda.
Koogivõistluse avakoogiks sai kookosekook, mis sai üldise heakskiidu osaliseks ja võimalik, et sinagi soovid seda teha proovida.

See on suhteliselt lihtne: võta päris palju seda piima, mis pole lehma seest. Sega sinna sisse erinevaid jogurteid (lehmalise päritoluga). Siis lisa želatiini - piisavalt, et tarretuks, aga mitte liiga palju, et ei oleks nagu kummikomm. Magustamiseks pane suhkru asemel mett maitse järgi ja vaniljet näpuotsaga. Lisada võib veel konservmango tükke ja et koogi mõõdu välja annaks, ka kaerahelbeküpsisepuru. Kaunistuseks vaarikaid, melissilehti ja kassikäppi.

Sellise ülesande järgi valmistades on võimalik, et tuleb päris hea kook, vähemalt sama hea või isegi parem kui pildilolev. Samas on võimalik ka... et ei tule. Kui selle retsepti üle tõsiselt mõelda, siis tekib ilmselt erinevaid küsimusi, näiteks:
  • Mis piim see on, mis ei ole lehmast? Variante on väga palju erinevaid, alates lambapiimast kuni linnupiimani, aga mina kasutasin kookospiima.
  • Mis jogurt? Jogurteid on väga palju erinevaid, kuid mina kasutasin türgi jogurtit, kreeka jogurtit ja siis veel ühte teist kreeka jogurtit, sest kookospiim ise + mesi on juba suhteliselt lääged, seega mõni maitsestatud jogurt oleks olnud liiast. Miks ma kasutasin erinevaid? Sellepärast, et ei osanud ühte valida.
  • Mett maitse järgi on umbes kui palju? Noh, tegelikult ei ole probleem, kui segu jooksvalt maitsta JA on terve suur purgitäis mett kodus olemas. Probleem on siis, kui pead mett ostma - kui suur purk valida? Ma arvan, et minul läks umbes... 5 supilusikatäit Võrumaa mesilaste kuldset käpatööd.
  • Aga kui mulle mango üldse ei meeldi, kas siis võib seda asendada näiteks ananassikonserviga? Aga värskete ananassitükkidega? Kiiviga, mis on samuti tasakaalustavalt hapu ja võiks sobida? Ananassikonserv sobib, kuid värske ananass želatiiniga ei tarretu (keemilistel põhjustel). Samamoodi on ka kiiviga, kuid kiivi ei sobi lisaks hästi piimatoodetesse - tulemuseks võib olla mõru maitsenüanss.
  • želatiini.. Ka želatiini peab oskama korrektselt kasutada, nt paisutada tuleb külmas vees, sulatades ega ka hiljem keema lasta ei tohi, et kõik ootuspäraselt toimiks.
  • Kassikäpad?!!? Jah, šokolaadist.
Seega on analüüsidokument või spetsifikatsioon tarkvara koostamiseks paljuski nagu retsept koogi või toidu valmistamiseks.
Mõnedes asjades tuleb raudselt kokku leppida, et tulemus vastaks ootustele (nt ei sisalda valget suhkrut ja nisujahu), tehniliselt õnnestuks (nt želatiini kasutamine), aga midagi jääb alati katsetamise ja töö käigus otsustamise rõõmuks (võimalus leida värskeid vaarikaid).
Kui nii tellija kui tegija on kogenud sama valdkonna koogi / tarkvara tegemisel kogenud, siis on täpne lähteülesanne tulemuse saavutamise seisukohalt vähemkriitiline. Kogemus tasakaalustab, sest üks oskab küsida ja/või teine vastata ja juhtida tähelepanu.
Mida väiksem on osapoolte kogemus, mida uuem ja/või suurem on ülesanne, seda rohkem on analüüsis vaja detailsust, läbirääkimist, selgitamist, katsetamist ja seega - aega.

Ja koogi retsept (suurema tõenäosusega) taasesitamist võimaldavas vormis on järgmine:
Kogus: 15 portsjonit, mis mahuvad 280ml klaasidesse
Kookospiim (1 liiter)
Türgi jogurt (370gr)
Kreeka jogurt (380gr)
Teine kreeka jogurt (150gr)
Mesi (200ml)
Vanilje (näpuotsaga)
Mangokonservist mangotükke (2 ca 300ml purki)
Digestive suhkruvabasid küpsiseid (ca 10tk)
Želatiini (ca 100gr)
Kaunistuseks vaarikaid, melissi, kassikäppasid (šokolaadist)

Valmistamisaeg ca 45min + 4 tundi tarretumiseks.
Želatiin pane esmalt külma vette paisuma, seejärel sulata veevannil.
Soojenda kookospiima tasasel tulel 10kond minutit, aga ära keema lase. Sega sisse mesi ja vanilje. Soojasse segusse sega peene joana valades sulatatud želatiin.
Lase segul jahtuda (nii et sõrme ei kõrveta), sest liiga kuumale segule jogurtit lisades võib želatiin hakata tarduma ning tekivad tükid. Sega jogurtid ülejäänud seguga ühtlaseks massiks. Lase jahtuda toatemperatuurile.
Klaaside põhja pane mangotükke ning peale vala jogurti-piimasegu. Pane klaasid külmkappi ja lase seal tarretuda vähemalt 4 tundi. Enne serveerimist puista peale endale sobivas koguses küpsisepuru, vaarikaid ja/või muid meelepäraseid lisandeid.

teisipäev, 29. september 2015

Viis küberturvanippi tavakasutajale

Internet ei ole juba ammu enam turvaline paik. Kõikvõimalikud sihilikult ja kogemata süsteemidesse istutatud vead aitavad tänapäevastel kurjategijatel virtuaalseid kanaleid kaudu priskeid varandusi kokku ajada. Olukorda ära kasutades on tekkinud palju erinevaid turvalahendusi pakkuvaid asutusi, mis üksteise võidu pakuvad just seda õiget toodet või teenust ohutunde eemaldamiseks. Paraku jääb ainuüksi mõnusa ja turvalise tunde tekitamisest väheseks. Pigem aitab valedele alustele rajatud enesekindlus küberkurjategijatel kiiremini oma eesmärke saavutada.


Turvaaukudest tulvil netiteekond

IT spetsialistidele on hästi teada tõsiasi, et igasse süsteemi on võimalik sisse murda. Kuna tarkvara täielik testimine on võimatu, siis pole kunagi võimalik absoluutselt kõiki tarkvaravigu vältida. Isegi kui leiduks ideaalselt turvaline tarkvara, siis väga suure tõenäosusega on selle kasutajaks inimesed. Inimesi on aga võimalik mitmel eri viisil manipuleerida ning piisavalt hästi varustatud kurjategijad (või kolme- ja neljatähelised organisatsioonid) leiavad varem või hiljem viisi, kuidas oma eesmärgini jõuda. Seega tekib küsimus, kas tuleks paranoiliselt arvutitest võõranduda või hoopis kübermaailma ohtudega leppida. Kuna arvutitest võõrandumine on tänapäeva infoühiskonnas suhteliselt keeruline, siis valivad paljud ohtudega leppimise tee. "Kasutan jah ikka veel Windows XP-d, aga see ju töötab." "Räägitakse jah, et tuleks arvutit regulaarselt uuendada, aga see on ju hästi tüütu." "Tean küll, et piraattarkvara on ebaseaduslik ja ohtlik, kuid kõik ju kasutavad seda." "Mis need häkkerid ikka minu arvutiga teha saavad?" Selline lähenemine tekitab aga tarbetuid turvariske, mida saaks vähese vaevaga vältida.

Olukord on parem, kui paistab

Tavakasutajatele lohutuseks võib öelda, et interneti turvaolukord ei ole sugugi nii hirmus, kui esmapilgul paistab. Näiteks leidis GCIG (Global Commission on Internet Governance), et küberrünnakute hulka vaadatakse tavaliselt väljaspool konteksti. Nimelt on loogiline, et interneti levik toob endaga kaasa ka küberkurjategijate ning küberintsidentide laialdasema leviku. Kui aga vaadelda küberrünnakutega kaasnevaid näitajaid normaliseeritud kujul (ehk suhtarvuna, arvestades ka keskkonna muutumist), siis selgub, et olukord tervikuna on muutumas turvalisemaks.

Lisaks on tekkinud positiivne trend vastutuse suurenemise suunas. Kui kümmekond aastat tagasi kuvati küberrünnaku ohvriks langenud organisatsiooni pigem õnnetu ohvrina, siis praegu võib hoolimatus klientide andmetega ringi käimisel kaasa tuua kohtuasja, mainekahju ja veel mitmeid ebameeldivusi.

Eelmainitu ei tähenda aga kaugeltki seda, et tavakasutaja peaks end muretult tundma. Kõikvõimalikud andmelekked ja pahavaraga nakatumised algavad just pahatihti ühest pahaaimamatust tavakasutajast. Õnneks on mitmeid lihtsaid viise, kuidas oma turvataset märkimisväärselt tõsta.

1. Uuendused

Kuigi uuenduste paigaldamine on sageli tüütu, on oma arvuti ajakohastamine esmatähtis punkt turvalisuse tagamisel. Kui küberkurjategijatel õnnestub lappimata turvaauku ära kasutades kogu arvutit kontrollida, siis ei ole teistest turvameetmetest enam suurt kasu.

2. Tugev autentimine

Kasuta tugevat parooli (parem sala-lause, kui lihtsalt sõna) ning mitmeastmelist autentimist. Erinevate tugevate paroolide haldamiseks on hea kasutada spetsiaalset paroolihaldustarkvara. Isikliku tähendusega kuupäevad ja lähedaste nimed on targem salasõnadest välja jätta.

3. Erinevate brauserite kasutamine koos abistavate pluginatega

Kasuta privaatsust suurendavaid pluginaid (nt Privacy Badger) ja erinevaid brausereid. Näiteks tööasjadeks Mozilla Firefox'i ja meelelahutuseks Google Chrome'i. Nii on praktiliselt välistatud, et meelelahutuslikule leheküljele (nt uudisteportaal) tunginud pahatahtlik koodijupp pääseks ligi tundlikule informatsioonile (nt tööalased e-kirjad).

4. Krüpteeri, varunda ja krüpteeri

Krüpteerimine muudab andmed kõrvalistele isikutele loetamatuks. Oma privaatsusest hoolivatel arvutikasutajatel tasuks kindlasti hoida tundlikke faile krüpteeritud kujul. Soovitav oleks krüpteerida kogu kõvaketas ning varukoopiad. Varukoopiaid hakatakse tegema tavaliselt alles siis, kui vähemalt üks kord on kõvaketas saladuslikult loetamatuks muutunud või andmed muud moodi äkitselt kadunud. Targem oleks teha regulaarselt varukoopiaid kas siis välisele kõvakettale (või mälupulgale) või mõnda pilveruumi (vastava teenuse pakkujaid on mitmeid). Välisele kõvakettale või mälupulgale andmeid salvestades tasub meeles pidada, et tundliku sisuga failid tasub ka seal hoida krüpteerutuna.

5. Ole paranoiline (mõõdukal määral)

Lihtne reegel ütleb, et kui miski on liiga hea, et olla tõsi, siis nii see ka on - suurem osa uskumatutest vedamistest (nt loteriivõit või pärandus Nigeeriast) on tegelikult petuskeemid, mille eest pahatihti ei suuda kaitsta ka paremad arvutikaitse tarkvaralahendused. Lisaks internetist saabuvatele rõõmusõnumitele tasub ettevaatlik olla ka ähvardavate ja kurbade teadete suhtes. Teavitused arvutis pesitsevast viirusest, sotsiaalvõrgustiku sulgemisest või tuntud inimesega juhtunud õnnestusest võivad kõik olla järjekordsed küberkriminaalide katsed lihtsameelsete kasutajate meelitamiseks. Seega tasub linke pommuudistele avada näiteks eraldi brauseris (kuhu on paigaldatud NoScript plugin) või jätta üldse avamata.


Paranoilisemad tehnikahuvilised leiavad lisaks mainitud punktidele veel mitmeid kasulikke mõtteid Linuxi sihtasutuse juhendist tööarvuti turvamiseks. Kuigi juhend on eelkõige Linuxi kasutajatele suunatud, on mitmed põhimõtted rakendatavad ka teiste operatsioonisüsteemide korral. 

neljapäev, 18. juuni 2015

Kes, mida ja kui palju peaks testima, et oleks "piisav"?

Kui tihti oled kuulnud tarkvaraarendusprojektidest, mis eelarves ei püsi? Või ajakavas? Kui palju seda su enda projektidega juhtunud on? Kui meenus vähemalt kaks (või üks, aga hästi suur), loe edasi. Loodetavasti aitab.

Mis on testimine ja miks see aidata võiks?

Ühe rahvusvahelise definitsiooni järgi on testimine protsess, mis koosneb kõigist tarkvara elutsüklis sisalduvatest tegevustest, mis tegelevad tarkvaraprodukti ja seotud töötulemite hindamise planeerimise, ettevalmistamise ja läbiviimisega, et:
  • selgitada välja, kas ja mil määral nad vastavad nõuetele;
  • näidata nende sobivust eesmärgi saavutamiseks ning
  • leida vigu.
Mida paremini sobib tehtud töö eesmärgi saavutamiseks ja vastab nõuetele, seda vähem peab tööd ümber tegema. Mida varem vead leitakse ja parandatakse, seda vähem tuleb tööd ümber teha. Aga sellest kõigest varsti lähemalt.

Kõige Olulisem Küsimus

Kõik ASA inimesed – kvaliteedikonsultandid, testijuhid, testijad – kuulevad nii müügitegevuses kui ka igapäevastes vestlustes sageli küsimust: „Kui palju peaks testimisele aega/raha kulutama?“ Et aga ainult suhtarv ütleb vähe, sõnastame küsimuse natuke laiemalt:

Kes, mida ja kui palju peaks testima, et oleks "piisav"?

Kirjutise järgnevad peatükid otsivadki antud küsimusele vastust, andes huvitatud lugejale vihjeid edasiseks lugemiseks. Kuna testimine ja tarkvaraarenduse kvaliteeditegevused üldisemalt on üsna lai teema, ei ole antud artikli skoobis võimalik pakkuda enamat põgusa sissejuhatuse andmisest.

Testimise tükeldamine

Ka kõige lihtsamate infosüsteemide puhul saab võimalikke testitavaid sisendite kombinatsioone välja mõelda lõpmatul hulgal, seega on täielik testimine võimatu. Selleks, et testimine erinevate rollide vahel mõistlikult ära jagada, tuleb tööd tükeldada. Seda saab teha nii horisontaalselt, erinevate kvaliteediatribuutide kaudu, kui ka vertikaalselt, vastavalt abstratktsioonitasemetele.  Seejuures võivad teostajad erineda nii testiliikide kui ka –tasemete lõikes. Kõlas keeruliselt? Ilmselt küll. Aga tegelikult ei ole testiliigid ja -tasemed välja mõeldud mitte selleks, et keerulisem oleks, vaid vastupidi -- lihtsam. Kuna tarkvara ise on sageli suur ja keeruline, on mõistlik arendusprotsess (ja selle kvaliteedikontroll) väiksemateks loogilisteks osadeks jagada.

Testiliigid

Testimist saab jagada liikideks vastavalt tarkvara kvaliteediatribuutidele. Viimaste kategooriaid on ISO/IEC 9126 järgi 6:
  1. funktsionaalsus;
  2. töökindlus;
  3. kasutuskõlblikkus;
  4. tõhusus;
  5. hooldatavus ning
  6. porditavus.

Arvatavasti kõige tuntum osa testimisest, üldjuhul ka kõige töömahukam – funktsionaalne testimine – hõlmab esimest kategooriat. Ülejäänud kategooriad võetakse üldjuhul ühise nimetaja alla "mittefunktsionaalsed nõuded" ning nendega seondub palju erinevaid (mittefunktsionaalseid) testiliike, muuhulgas:
  • jõudlustestimine ja selle erijuhud (koormus- ja stressitestimine);
  • robustsustestimine (testimine vigaste andmetega);
  • kasutatavuse testimine;
  • paigaldatavuse testimine;
  • turvatestimine;
  • jpm.
Lisaks eeltoodule saab testimist jagada liikidesse vastavalt sellele, kas programmikood käivitatakse või mitte. Esimesel puhul, mis on taaskord tuntum, on tegu dünaamilise testimisega. Staatiline testimine, mille käigus koodi ei käivitata, võimaldab testida sisuliselt kõike alates ärinõuetest ja prototüüpidest ning lõpetades paigaldus- ja kasutusjuhenditega.

Testitasemed

ISTQB selgitab arendusprotsessi läbi 4-tasemelise  V-mudeli, milles igale arendustasemele vastab testitase:
  1. moodul- ehk ühiktestimine (unit testing) toimub arendatavale koodile kõige lähemal, testitakse loodavate tarkvaramoodulite (meetodid, klassid) toimivust vastu mooduli disainidokumentatsiooni;
  2. integratsioonitestimises (integration testing) kontrollitakse moodulite omavahelist koostoimivust;
  3. süsteemitestimise (system testing) tasemel kontrollitakse juba kogu süsteemi läbivate äriprotsesside toimivust süsteemidisaini vastu;
  4. vastuvõtutestimise (acceptance testing) eesmärk on veenduda, et süsteem teeb seda, milleks ta loodud on.

Lähtuvalt erinevast abstraktsiooniastmest ja vaatenurgast on igal testitasemel erinevad vastutajad ning eesmärgid. Näiteks vastuvõtutestimise eesmärk ei tohiks kindlasti enam olla vigade leidmine ja parandamine, vaid pigem kindlustunde tekitamine lõppkasutajates. Samuti on testija mõiste igal testitasemel pisut erinev -- näiteks arendajad peaksid kindlasti osalema moodultestimises, seevastu äripool on absoluutselt asendamatu vastuvõtutestimise tasemel.

Lisaks eeltoodule ei tasu testimist unustada ka vahetult pärast programmikoodi ülekandmist toodangukeskkonda (nö. toodangusse vastuvõtu testimine).




Varajane testimine

„Mida varem, seda parem,“ ütleb rahvatarkus. Tõepoolest, see kehtib ka tarkvara testimise puhul, nagu näitas juba Barry Boehm oma 1976. aastal avaldatud artiklis „Software Engineering“ (1976). Täpsemalt, mida hiljem avastatakse tarkvaras viga, seda rohkem on selleks ajaks valesti tehtud tööd, mida ümber teha. Mida abstraktsem on töö, seda suurem on tõenäosus teha vigu. Seega tehakse tõenäolisemalt vigu nõuete kogumise faasis. Sellest omakorda järeldub, et varajane testimine, eelkõige staatiline testimine enne kodeerimise algust, võimaldab saavutada kõige suuremat kokkuhoidu.


Oponendid väidavad nüüd kindlasti, et eeltoodud põhimõte kehtib ainult klassi­kalise koskmudeli puhul ja mitte agiilsetes arendusmetoodikates. Tõsi, inkre­mentaal­sete-iteratiivsete mudelite puhul on inkremendid/iteratsioonid lühemad kui koskmudeli kogu arendustsükkel, seega tehakse dokumen­teeri­mi­sest töötava koodini jõudmiseks vähem tööd, mistõttu on potent­siaalsed kao­tu­sed, vähemalt ühe iteratsiooni piires, tõenäoliselt väiksemad. Ometi on ka siin varajane testi­mine oluline – kui näiteks esimeses iteratsioonis on tehtud funda­mentaalne viga, tuleb selle avastamisel mitu iteratsiooni hiljem ümber teha ka kõigi vahepealsete iteratsioonide tööd.

Testimise osakaal arendusprojektis

Aastal 1988 viidi läbi uuring, kus koostati kolme ettevõtte põhjal tarkvaraprojektide käekäigu simuleerimiseks mudel ning verifitseeriti mudelit seejärel neljanda, sõltumatu projekti raames. Tulemused olid üllatavad: mudel suutis neljanda projekti käekäiku ennustada erinevates mõõtepunktides üsna täpselt.


Uuringust selgus, et antud projektimeeskonna puhul olnuks ideaalne kulutada 15% projekti töötundidest testimis- ehk kvaliteeditegevustele. Antud tulemuse tõlgendamisel tuleb arvesse võtta kaht olulist aspekti. Esiteks vajab mudel sisendiks väga detailseid andmeid projektimeeskonna võimekusest (näiteks vigade esinemise sagedust), mistõttu ei ole see üldjuhul Eesti projektidesse kohaldatav. Teiseks oli vaadeldava projekti teostajaks NASA, mistõttu olid nii meeskonnaliikmete valikul kui ka protsessides väga ranged nõuded ja reeglid. Uuringu põhjal avaldatud artiklit võid lugeda siit.

Erinevad allikad annavad erinevaid soovitusi testimistegevuste osakaalule pro-jekti kogumahus. Näiteks suuremate ERP-lahenduste puhul väidetakse see olevat 40%, mastide otsas kasutatavate telekom-seadmete puhul aga vähemalt 60%. Viimane World Quality Report näitab trendi, et testimise osakaal kogu IT-eelarvest on tõusnud viimase paari aastaga 18% pealt 23% peale ning aastaks 2014 juba 26%-ni. 2017. aastaks ennustatakse, et testimine hõlmab keskmisest IT-eelarvest juba 29%.

Kokkuvõtvalt

Peab nentima, et alguses õhku paisatud küsimusele ühtset ja konkreetset vastust, mis igas projektis paika peaks, ei olegi.

Kes peaks testima? Kõik projekti osapooled, olenevalt vajalikest testiliikidest. Testija rollis võivad olla elukutselised testijad, aga kindlasti ka arendajad, analüütikud, lõppkasutajad, administraatorid, tellijad, tootejuhid jne.

Mida peaks testima? Lähtuma peaks kindlasti kvaliteediatribuutidest, mida antud projekti puhul olulisteks edu faktoriteks peetakse.

Kui palju peaks testima? See sõltub väga palju projekti iseloomust, kuid levinud praktika on hetkel 26% kogu ettevõtte IT-eelarvest kulutada testimistegevustele.

Viimases kahes punktis võiks ühtlasi lähtuda riskihinnangust – testimine kui meede riskide ennetamiseks ei ole kindlasti kasulik, kui sellele kulutada riski realiseerumisel saadavast potentsiaalsest kahjust rohkem.

teisipäev, 2. juuni 2015

Koolitus tehnilisest testimisest - mida peab iga testija ja arendaja teadma tarkvara siseelust?

Tarkvaraprojektides jooksevad testijad ja arendajadki tihti peaga vastu seina - testitakse küll ja justkui pühendunult ja päris korralikult, aga "tavaline" testimine ei leia kõiki olulisi vigu üles. Teine ebameeldiv võimalus on, et vead tulevad välja liiga hilja - vahetult enne live'i tähtaega või juba toodangukeskkonnas, põhjustades nii kõigile osapooltele sõnulseletamatuid kannatusi. Veel tahaksid uudishimulikud tarkvaraprofid saada ka objektiivset ülevaadet oma testimise põhjalikkusest - näiteks vastusena küsimustele "Kui suure osa koodist mu testid katavad?" või "Kas mu koodis on testimata osasid?"


Ka kliendid ei ole kitsid tarkvarale kõrgete nõuete esitamisega - tarkvara peab olema kiire, teenindama suure hulga paralleelseid kasutajaid, olema turvaline ja ilma probleemideta hallatav ning edasi arendatav, modulaarne ja filigraanne. Testijad aga teavad, et kui on nõue, tuleb ka testida, kas nõue on täidetud. Mõnikord aga... nagu hästi ei oska. Ja isegi kui oskaks, siis missuguseid tööriistu oleks kõige õigem kasutada? Mida automatiseerida ja mida mitte?

Tehnilise testija koolitus käsitleb testimise aspekte, mis on olulised nii tehnilisemate ülesannetega kokku puutuvale testijale (näiteks agiilses arendustiimis) kui ka arendajale.

Põhiliseks koolituse fookuseks on meetodid, tehnikad ja tööriistad, mida kasutada "tavapärasele" musta kasti käsitsitestimisele lisaks, et leida vigu lihtsamini (väiksema aja/rahakuluga) ning kontrollida kvaliteeti terviklikumalt kui vaid funktsionaalsusele rõhku pöörates. Et kullakarvalise kasutajaliidese all ei oleks liialt siiruviiruline kood. 

Väike ülevaade käsitletavatest teemadest on järgmine:
  • koodi testikate (test coverage) - kuidas seda eesmärgistada, mõõta, kasvatada ja mitte üle pingutada,
  • tarkvara sisekvaliteedi (hallatavus, hooldatavus) hindamine - koodistandardid ja staatiline analüüs,
  • koodi käitumise uurimine - dünaamiline analüüs, profileerimine,
  • tehnilist laadi testide planeerimine ja läbiviimine - jõudlustestid, turvatestid, tarkvara töökindluse tagamine,
  • testide automatiseerimine - millal ja kuidas peaks ja ei tohiks, 
  • tehnilise testija tööriistakast ja oma isikliku tööriistakasti komplekteerimine.
Koolitus, kuhu on oodatud nii testijad kui ka arendajad, toimub juba 24. - 26. augustil. Koolitajaks on Lloyd Roden (http://lloydrodenconsultancy.com), kes on nii AKA eelmistel koolitustel kui ka erinevatel testimise alastel konverentsidel saanud positiivse tagasiside kui praktilise kogemusega mänguline treener. Koolitusel igav ei hakka! 

Lisainfo ja registreerumine aadressil maili [at] asaquality.ee.
Registreerudes enne jaanipäeva on kolmepäevase koolituse hind 1500€+KM, edaspidi 1600€+KM (sisaldab toitlustust ja kõiki materjale, ei sisalda sertifikaadieksami tasu).

Koolitus põhineb ISTQB Certified Tester Advanced Level Technical Test Analyst õppekaval ning koolituse läbinutel on võimalik sooritada sertifikaadieksam (eksami sooritamise eelduseks on ISTQB CTFL sertifikaadi olemasolu, koolitusel saab osaleda ka ilma CTFL sertifikaadita). 

reede, 17. aprill 2015

Kuidas mõõta turvalisust?

Mida vähem turvalisust, seda parem – niiviisi mõelda tundub esialgu veider, sest turvalisus on pigem positiivne ja ihaldatud omadus. Kui seda aga mõõta ei osata või ei taheta, siis jääb iga turvalisusega seonduv nõue, soov ja visioon sisutühjaks loosungiks. Seega turvalisuse reguleerimiseks on tarvis miskit mõõta. Mõõtmiseks on aga vaja kõigepealt see "miski" täpsemalt määratleda. Tunnetuslikult tähendab turvalisus igale inimesele midagi, aga selle täpsemal defineerimisel jäädakse sageli hätta. Täpsem turvalisuse mõiste seletus sõltub muidugi kontekstist, kuid suures plaanis on võimalik rääkida tunnetatavast turvalisusest ja mõõdetavast turvalisusest.



Turvatunne

Laiemas mõttes peetakse turvalisuse all tavaliselt silmas turvatunnet, mis on Maslow' vajaduste hierarhiat iseloomustavas püramiidimudelis hõivanud täiesti omaette taseme. Kui mõelda mõnele ekstreemsele olukorrale (näiteks aktiivne sõjategevus või looduskatastroof), siis on üpris loogiline, et turvatunde saavutamine on väga prioriteetsel kohal. Surmahirmus inimesed ei mõtle tavaliselt tunnustusele ega gastronoomilistele naudingutele. Pigem fokusseerib inimkeha kõik oma ressursid selleks, et jõuda ohutu(ma)sse seisundisse. Ohtude vältimiseks ja turvatunde tekitamiseks on inimkond loonud kõikvõimalikud seadmed ja konstruktsioonid (muu hulgas näiteks kindlused ja kindlustused, turvavööd ja tulemüürid, helkur- ja kuulivestid, abielu- ja töölepingud). Paraku on tunnetel põhinev turvalisus väga individuaalne, sest iga inimese julge olek on ümbritseva keskkonnaga omamoodi suhtes – mõnele on julgeks olemiseks tarvis soomusrüüd, teisele reisikindlustust.

Tarkvara puhul võib ju selle kasutaja käest küsida, kui turvaliseks ta antud rakendust või süsteemi peab, kuid pahatihti ei pruugi tunnetuslik hinnang tegelikkusele vastata (kuigi vahel on tarkvara looja vaatenurgast lõppkasutaja hea enesetunne palju tähtsam kui süsteemi tegelikud turvaomadused). Seetõttu on tark lisaks kasutajate tagasiside kogumisele paika panna mõõdikud, mis annaks turvalisuse tasemest objektiivsema ülevaate.



Mõõdetud turvalisus

Nõuete ja eesmärkide seadmisel on tähtis, et need oleksid mõõdetavad. Vastasel korral on väga keeruline tõestada, et soovitud tulemus on saavutatud. Turvalisuse mõõtmiseks võib kasutada mitmeid andmeid. Näiteks võib loendada 2014. aastal USAs raporteeritud tarkvara haavatavused ning järeldada, et kõige haavatavamad operatsioonisüsteemid olid Apple Mac OS X, Apple iOS ning Linux kernel. Võib ka üles lugeda anti-viirus-programmi poolt avastatud pahavara-ründed või kokku liita tavakasutajate tehniliste probleemidega seonduvad appikutsed. Igal juhul annavad täpselt mõõdetavad numbrid võimaluse joonestada erinevaid graafikuid ning aitavad turvalisuse tasemest veidi objektiivsemat ülevaadet saada.

Teatud mõõdikute komplektid on muutunud sedavõrd populaarseks, et nendest on välja kujunenud standardid. Kuigi ka standardites võivad mõned mõõdikud ja definitsioonid jääda ebatäpseks, on nendest siiski suur kasu turvalisuse taseme hindamisel. Erinevad standardid (näiteks rahvusvaheline ISO 27000 seeria, kodumaine ISKE, veebirakendustele keskendunud OWASP ASVS, jne) võimaldavad kontrollida, millisel määral järgib kontrollitav produkt (tarkvara, teenus, protsess) spetsialistide poolt kehtestatud nõudeid. Standardid aitavad piiritleda testimise skoopi ning samuti parendada erinevate osapoolte vahelist suhtlust (eeldusel, et kõik osapooled on tuttavad standardis määratletud mõistetega).


Igaühele oma standard

Samas ei tohiks mõõdikute usaldamisega liialdada. Mõõdikud näitavad ainult neid haavatavusi, mis leiti üles ja raporteeriti. Näiteks mustal turul on kõrges hinnas haavatavused, mis on veel ametlikult raporteerimata, ning pahavarad, mis oskavad viirusetõrjeprogrammidele nähtamatuks jääda. Lisaks peitub igas tarkvaras veel hulgaliselt täiesti avastamata haavatavusi. Seega on väga oluline aru saada, mis peitub mõõdetud numbrite taga. Tuleb meeles pidada, et kõik sõltub alati kontekstist ning lihtsalt kahe numbri võrdlusest ei piisa adekvaatsete otsuste tegemiseks. Pahatihti tehakse aga lihtsustatud mudelite põhjal laiahaardelisi järeldusi. Rohkem vigu ühes või teises programmis või rakenduses ei pruugi sugugi tähendada, et see oleks sellevõrra rohkem või vähem turvaline. Tänapäeva tarkvara on sedavõrd kompleksne, et on mõttetu väita, et üks brauser, tekstiredaktor või operatsioonisüsteem on turvalisem kui teine.

Kokkuvõttes võib tõdeda, et turvalisuse mõõtmine ei ole lihtne. Turvataseme hindamiseks on otstarbekas igale juhtumile individuaalselt läheneda, sest mõtestamata mõõdikute väär tõlgendamine võib viia kurbade tagajärgedeni. Üldine turvateadlikkus ja turvaküsimuste üle mõtisklemine tuleb aga igal juhul kasuks.

Sten Mäses
ASA Quality Services

neljapäev, 22. jaanuar 2015

Küber-identiteedivargus – süütu nali või tõsine kuritegu?

Minu esimesed kokkupuuted Internetiga olid vanuses 11-12, ehk varajases puberteedieas. Nägin jututubade-buumi, mis hiljem asendus foorumitega. Kümmekond aastat hiljem alustas praegu „tipus“ trooniv sotsiaalmeedia oma võidukäiku. Kui paarkümmend aastat tagasi peitus enamik neti-inimesi varjunime taha, siis viimaste aastate trend on pigem iseenda näo ja nime näitamine – Google pidas seda lausa nii iseenesestmõistetavaks, et nõudis rangelt iseendana esinemist. Kogu vaadeldava perioodi jooksul on üht probleemi aga üsna tõsisemaks hakatud pidama: identiteedivargused.

Interneti massidesse jõudmise algusaegadel, 90ndate aastate keskpaigas, olid reeglid üsna kaootilised. Kirjapandud reegleid otseselt ei olnudki, riiklikul tasandil seadustest rääkimata. Et kasutajaid oli vähe, toimisid keskkondade sisemised reeglid, ühest-kahest moderaatorist piisas. Kuna kasutajanime valimisel piiranguid polnud, valisid paljud end küberruumis esindama mõne iidoli nime. Ma ise kasutasin nimesid KarmoK (kooli arvutiklassi kasutajanimi), ChrisMan (vrd Batman või Spider-Man) ja 1998. aastast Garfield, millest pärast loomulikku lühenemisprotsessi sai „garf“. Ometi ei garanteerinud miski, et selle nime taga just mind leida võiks – ja ega keegi tõenäoliselt ei eeldanud ka. Internet oli huvitav mänguasi, mitte midagi tõsist. Huvitava võrdlusena võib siia kõrvale tuua Fidoneti, kus EW.* gruppidesse pidi igaüks rangelt oma kodanikunime alt kirjutama. Internetis valitses sellega võrreldes anarhia.

Keskkooli lõpu paiku (aastatel 2001-2003) sattusin tihedamalt ühte Inglise Vormel 1-teemalisse foorumisse. Kui suurem osa sealsest seltskonnast oli heatahtlik, leidus siiski ka juba paar „trolli“, kes ühe konkureeriva vormelifoorumi moderaatoriga tülli olid läinud ja arvete klaarimiseks tema nime ja pildiga „varikontosid“ vorpisid teha. Mustamiskampaania põhiline sisu oli noormehe väidetavalt massist erinev seksuaalne orientatsioon – nimelt fantaseeriti kokku kõiksugu orgiaid erinevate muude sihtmärkidega, kes kõik ühel või teisel põhjusel „trollidega“ pahuksisse olid sattunud. Üritasin „trollide“ mõtteviisist aru saamiseks nendega suhelda – sain vastuseks, et Internet on ju ainult mäng ja ega nad siis paha pärast. Julgesin väita, et tegelikult on iga ekraani taga siiski päris inimene ja sellisel laimul võivad nende jaoks ka reaalsed tagajärjed olla ning juba olidki lugudes uued tegelased – mina ja mu tolleaegne tüdruksõber.

Kui eelmises loos oli tegu „ainult“ emotsionaalse traumaga, siis 2009. aasta veebruaris avaldas Eesti Ekspress loo naisest, kes Soome kohtus oma eksmehe vastu võidu saavutas, kuna kohalikud võimud ei leidnud seadusandlusest ühtki asjassepuutuvat pügalat (Kärmas, 2009). Artikli ilmumise ajaks oli – küll napilt nädal varem – juba kooskõlastusringile jõudnud Karistusseadustiku muutmise seaduse eelnõu, millega seadusesse lisandus § 1572 „Teise isiku identiteedi ebaseaduslik kasutamine“ (Riigikantselei, 2009). Probleemi hakati tunnetama seadusandja tasemel.

Ometi ei olnud sellest seadusemuudatusest kasu, kui välismaised kurjategijad möödunud aasta alguses mu ema Google’i konto enda valdusesse said ja kõigile kontaktidele petukirja laiali saatsid – justkui oleks konto omanik Bradfordis varguse ohvriks langenud ja vajaks nüüd kiiret rahalist abi (Karmo, 2014). Kuna tegu oli rahvusvahelise juhtumiga – ohver Eestis, teenusepakkuja Ameerikas, kurjategija ei-tea-kus – tunnistas politsei taaskord võimetust aidata. Umbes samal ajal oli sarnaseid juhtumeid Eestis teisigi. Seejuures olid identiteedivargad jälgede kustutamisel üsna põhjalikud: Google’i konto pandi üsna kiiresti pärast ülevõtmist kinni ning loodi sama kasutajanimega uus. Nii ei toiminud ka standardsed viisid konto taastamiseks.

Mis selles viimases juhtumis siis nii hullu oli? Mäletan omast kogemusest, kui palju aega ja energiat kulus uue Google’i konto tegemisele, kogu info vanalt kontolt uuele migreerimisele, arvete ja muu olulise info uuele aadressile tellimisele jms tegevustele. Seejuures oli minu vana konto minu käsutuses. Antud juhul tuligi emal eelkõige kõigi oluliste teenusepakkujatega lepingud ümber teha – arved uuele e-posti aadressile suunata. Lisaks – kuidas teavitada kõiki kontakte uuest aadressist, kui kontaktibaas „hävis“ koos kontoga? Paari päeva jooksul tuli murelikele petukirja saanud tuttavatele selgitada, et tegelikult ei ole midagi hullu juhtunud ja raha ei pea saatma – või siis lihtsalt noogutada järjekordse teavituse peale, et keegi saadab tema e-posti aadressilt kahtlaseid petukirju. Nutitelefon ja tahvelarvuti tuli uuele Google’i kontole ümber seadistada. Oleks vana konto krediitkaardiga seotud olnud, tulnuks ka krediitkaart sulgeda. Seda nimekirja võiks veel üsna pikalt jätkata. Niisiis – üheainsa konto kaotamisest tekkis omajagu ebamugavusi ja planeerimata lisatööd. Oleks võinud tekkida muidki sekeldusi, näiteks mõne vanale aadressile saadetud arve maksmata jätmise tõttu. Seejuures oli kurjategijate esmane eesmärk justnimelt identiteedivargus – saata usaldusväärse nime tagant sõpradele-tuttavatele rahasooviga kiri. Mõni nõrgema eesti keele oskusega ohver oleks vabalt võinudki õnge minna.

Igal juhul on identiteedivarguse näol tegu kuriteoga, mis väärib ennetamist ja karistamist. Ennetamise osas saavad palju ära teha kasutajad ise – kasutades mitmeastmelist kasutajatuvastust või vähemalt turvalisi paroole – aga eelkõige siiski teenusepakkujad ja tarkvaraarendajad, tehes turvalise isikutuvastuse võimalikult mugavaks. Sest kui kasutaja saab valida, eelistab ta esimese hooga alati mugavust turvalisusele. Suureks abiks on kindlasti ka muutuv suhtumine Internetti ja identiteedivargustesse – tundub, et enam ei peeta seda massiliselt süütuks mänguks. Õnneks.

Kristjan Karmo
ASA Quality Services

Algselt avaldatud 18.01.2015 Kristjani isiklikus blogis: Küber-identiteedivargus - süütu nali või tõsine kuritegu?