Test basati sul rischio: approccio, matrice, processo ed esempi
Tommaso Hamilton
Test basati sul rischio
Test basati sul rischio (RBT) รจ un tipo di test software che si basa sulla probabilitร di rischio. Comporta la valutazione del rischio in base alla complessitร del software, alla criticitร del business, alla frequenza di utilizzo, alle possibili aree con Difetto ecc. I test basati sul rischio danno prioritร al test delle caratteristiche e delle funzioni dell'applicazione software che hanno un maggiore impatto e che probabilmente presentano difetti.
Il rischio รจ il verificarsi di un evento incerto con un effetto positivo o negativo sui criteri di successo misurabili di un progetto. Potrebbero essere eventi accaduti nel passato o eventi attuali o qualcosa che potrebbe accadere in futuro. Questi eventi incerti possono avere un impatto sugli obiettivi di costo, di business, tecnici e di qualitร di un progetto.
I rischi possono essere positivi o negativi.
- Rischi positivi sono indicati come opportunitร e aiuto nella sostenibilitร aziendale. Ad esempio investire in un nuovo progetto, modificare i processi aziendali, sviluppare nuovi prodotti.
- Rischi negativi sono indicati come minacce e le raccomandazioni per minimizzarle o eliminarle devono essere implementate per il successo del progetto.
Quando implementare i test basati sul rischio
I test basati sul rischio possono essere implementati in
- Progetti che hanno vincoli di tempo, risorse, budget, ecc.
- Progetti in cui รจ possibile utilizzare l'analisi basata sul rischio per rilevare le vulnerabilitร Attacchi di iniezione SQL.
- Test di sicurezza in ambienti di cloud computing.
- Nuovi progetti con fattori di rischio elevati come mancanza di esperienza con le tecnologie utilizzate, mancanza di conoscenza del settore aziendale.
- Modelli incrementali e iterativi, ecc.
Processo di gestione del rischio
Cerchiamo ora di comprendere le fasi coinvolte nel processo di gestione del rischio
Identificazione dei rischi
L'identificazione dei rischi puรฒ essere effettuata tramite workshop sui rischi, checklist, brainstorming, interviste, tecnica Delphi, diagrammi causa-effetto, lezioni apprese da progetti precedenti, analisi delle cause principali, contatti con esperti del settore e della materia.
Registro dei rischi รจ un foglio di calcolo che contiene un elenco di rischi identificati, potenziali risposte e cause profonde. Viene utilizzato per monitorare e tracciare i rischi (sia minacce che opportunitร ) durante tutta la vita del progetto. Le strategie di risposta al rischio possono essere utilizzate per gestire i rischi positivi e negativi.
La struttura di ripartizione del rischio svolge un ruolo importante nella pianificazione del rischio. La struttura di scomposizione del rischio aiuterebbe a identificare le aree soggette a rischio e aiuta nella valutazione efficace e nel monitoraggio del rischio nel corso del progetto. Aiuta a fornire tempo e risorse sufficienti per le attivitร di gestione del rischio. Aiuta anche a classificare molte fonti da cui possono derivare i rischi del progetto.
Esempio di struttura di ripartizione del rischio
Analisi del rischio (include analisi quantitativa e qualitativa)
Una volta identificato lโelenco dei rischi potenziali, il passo successivo รจ analizzarli e filtrare il rischio in base alla significativitร . Una delle tecniche di analisi qualitativa del rischio utilizza la matrice del rischio (trattata nella sezione successiva). Questa tecnica viene utilizzata per determinare la probabilitร e l'impatto del rischio.
Pianificazione della risposta al rischio
Sulla base dell'analisi, possiamo decidere se i rischi richiedono una risposta. Ad esempio, alcuni rischi richiederanno una risposta nel piano di progetto mentre altri richiedono una risposta nel monitoraggio del progetto e altri ancora non richiederanno alcuna risposta.
Il proprietario del rischio รจ responsabile dell'identificazione delle opzioni per ridurre la probabilitร e l'impatto dei rischi assegnati.
Mitigazione del rischio รจ un metodo di risposta al rischio utilizzato per ridurre gli impatti negativi di possibili minacce. Ciรฒ puรฒ essere fatto eliminando i rischi o riducendoli a un livello accettabile.
Contingenza del rischio
La contingenza puรฒ essere descritta come la possibilitร di un evento incerto, ma il cui impatto รจ sconosciuto o imprevedibile. Un piano di emergenza รจ noto anche come piano d'azione/piano di riserva per gli scenari peggiori. In altre parole, determina quali misure potrebbero essere intraprese quando si materializza un evento imprevedibile.
Monitoraggio e controllo dei rischi
Il processo di controllo e monitoraggio del rischio viene utilizzato per tenere traccia dei rischi identificati, monitorare i rischi residui, identificare nuovi rischi, aggiornare il registro dei rischi, analizzare le ragioni del cambiamento, eseguire un piano di risposta al rischio e monitorare i fattori scatenanti del rischio, ecc. Valutare la loro efficacia nel ridurre i rischi .
Ciรฒ puรฒ essere ottenuto mediante rivalutazioni del rischio, audit del rischio, analisi degli scostamenti e delle tendenze, misurazione delle prestazioni tecniche, riunioni di aggiornamento dello stato e riunioni retrospettive.
La tabella seguente fornisce informazioni su
| Input per il monitoraggio e il controllo del rischio | Strumenti e tecniche per il monitoraggio e il controllo dei rischi | Risultati del monitoraggio e controllo dei rischi |
|---|---|---|
| Piano di gestione del rischio | Audit sulla risposta al rischio del progetto | Piani di soluzione alternativa |
| Piano di risposta al rischio | Revisioni periodiche del rischio del progetto | Azione correttiva |
| Piano di comunicazione del progetto | Analisi dell'Earned Value | Richieste di modifica del progetto |
| Ulteriori identificazione e analisi dei rischi | Misurazione delle prestazioni tecniche | Aggiornamenti al piano di risposta al rischio e alla lista di controllo per l'identificazione del rischio |
| Modifiche all'ambito | Pianificazione della risposta ai rischi aggiuntivi | Banca dati sui rischi |
Dobbiamo ricordare che il rischio aumenta con i cambiamenti nella tecnologia, nelle dimensioni del progetto, nella sua durata (tempi di progetto piรน lunghi), nel numero di agenzie sponsorizzatrici, nelle stime del progetto, negli sforzi e nella carenza di competenze adeguate.
Approccio ai test basato sul rischio
- Analizza i requisiti.
- I documenti (SRS, FRS, casi d'uso) vengono esaminati. Questa attivitร viene svolta per trovare ed eliminare errori e ambiguitร .
- L'approvazione dei requisiti รจ una delle tecniche di riduzione del rischio per evitare l'introduzione di modifiche tardive nei progetti. Qualsiasi modifica ai requisiti dopo la definizione del documento comporterebbe un processo di controllo delle modifiche e successive approvazioni.
- Valutare i rischi calcolando la probabilitร e l'impatto che ogni requisito potrebbe avere sul progetto, tenendo in considerazione criteri definiti quali costo, tempistica, risorse, ambito, sicurezza delle prestazioni tecniche, affidabilitร , complessitร , ecc.
- Identificare la probabilitร di guasto e le aree ad alto rischio. Questo puรฒ essere fatto utilizzando la matrice di valutazione del rischio.
- Utilizzare un registro dei rischi per elencare l'insieme dei rischi identificati. Aggiornare, monitorare e tenere traccia dei rischi periodicamente a intervalli regolari.
- In questa fase รจ necessario effettuare la profilazione del rischio per comprendere la capacitร di rischio e i livelli di tolleranza al rischio.
- Dai la prioritร ai requisiti in base alla valutazione.
- Viene definito il processo di test basato sul rischio
- I rischi altamente critici e medi possono essere presi in considerazione per la pianificazione della mitigazione, l'implementazione e il monitoraggio dei progressi. I rischi bassi possono essere considerati in una lista di controllo.
- La valutazione della qualitร dei dati di rischio viene effettuata per analizzare la qualitร dei dati.
- Pianificare e definire il test in base alla valutazione
- Applicare un approccio di test e tecniche di progettazione dei test appropriati per progettare i casi di test in modo tale che gli elementi a rischio piรน elevato vengano testati per primi. Gli elementi ad alto rischio possono essere testati dalla risorsa con una buona esperienza di conoscenza del dominio.
- ร possibile utilizzare diverse tecniche di progettazione del test, ad esempio utilizzando la tecnica della tabella decisionale sugli elementi di test ad alto rischio e utilizzando il partizionamento di equivalenza "solo" per gli elementi di test a basso rischio.
- I casi di test sono inoltre progettati per coprire piรน funzionalitร e scenari aziendali end-to-end.
- Preparare i dati del test, le condizioni del test e il banco di prova.
- RevVisualizza i piani di test, la strategia di test, i casi di test, i rapporti di test o qualsiasi altro documento creato dal team di test.
- La revisione tra pari รจ un passo importante nellโidentificazione dei difetti e nella riduzione dei rischi.
- Eseguire prove di prova e controlli di qualitร sui risultati
- I casi di test vengono eseguiti in base alla prioritร dell'elemento di rischio.
- Mantenere la tracciabilitร tra gli elementi di rischio, i test che li coprono, i risultati di tali test e i difetti rilevati durante i test. Tutte le strategie di test eseguite correttamente ridurranno i rischi di qualitร .
- I test basati sul rischio possono essere utilizzati a ogni livello di test, ad esempio test di componenti, integrazione, sistema e accettazione
- A livello di sistema, dobbiamo concentrarci su ciรฒ che รจ piรน importante nellโapplicazione. Ciรฒ puรฒ essere determinato osservando la visibilitร delle funzioni, la frequenza di utilizzo e il possibile costo di un guasto.
- Valutazione dei criteri di uscita. Tutte le aree ad alto rischio sono state completamente testate, con solo piccoli rischi residui rimasti in sospeso.
- Reporting dei risultati dei test basati sul rischio e analisi delle metriche.
- Rivalutare gli eventi di rischio esistenti e i nuovi eventi di rischio sulla base degli indicatori chiave di rischio.
- Aggiornamento del registro dei rischi.
- Piani di emergenza: funzionano come piani di riserva/piani di emergenza per i rischi di esposizione elevata.
- Analisi dei difetti e prevenzione dei difetti per eliminare i difetti.
- I nuovi test e i test di regressione per convalidare le correzioni dei difetti basati sull'analisi dei rischi precalcolata e sulle aree ad alto rischio dovrebbero essere coperti in modo piรน approfondito.
- Test di automazione basati sul rischio (se fattibile)
- Calcolo del rischio residuo
- Monitoraggio e controllo dei rischi
- I criteri di uscita o i criteri di completamento possono essere utilizzati per diversi livelli di rischio. Tutti i rischi principali sono stati affrontati con azioni appropriate o piani di emergenza. L'esposizione al rischio รจ pari o inferiore al livello concordato come accettabile per il progetto.
- Rivalutazione del profilo di rischio e feedback dei clienti.
Approccio al test basato sul rischio per il test del sistema
- Prova del sistema tecnico โQuesto รจ indicato come test ambientale e test di integrazione. Il test dell'ambiente include test nell'ambiente di sviluppo, test e produzione.
- Test del sistema funzionaleโ Test di tutte le funzionalitร , caratteristiche, programmi, moduli. Lo scopo di questo test รจ valutare se il sistema soddisfa i requisiti specificati.
- Test del sistema non funzionale-Verifica delle prestazioni dei requisiti non funzionali, test di carico, stress test, test di configurazione, test di sicurezza, procedure e documentazione di backup e ripristino (documentazione di sistema, funzionamento e installazione).
Il diagramma seguente fornisce una chiara panoramica del processo sopra menzionato
Il test di sistema include sia test funzionali che test non funzionali.
I test funzionali garantiscono che il prodotto/applicazione soddisfi i requisiti del cliente e dell'azienda. D'altra parte, i test non funzionali vengono eseguiti per verificare se il prodotto soddisfa le aspettative del cliente in termini di qualitร , affidabilitร , usabilitร , prestazioni, compatibilitร , ecc.
Come eseguire test basati sul rischio: processo completo
Questa sezione riguarda il processo di test basato sul rischio
- Identificazione dei rischi
- Analisi del rischio
- Risposta al rischio
- Prova l'ambito
- Definizione del processo di test
- In questo processo, i rischi vengono identificati e classificati, viene preparata una bozza di registro dei rischi, viene effettuato l'ordinamento dei rischi per identificare i rischi significativi.
- La risposta al rischio implica la formulazione degli obiettivi del test a partire dai rischi e la selezione di tecniche appropriate per dimostrare l'attivitร di test/la tecnica di test per raggiungere gli obiettivi del test.
- Le dipendenze dei documenti, i requisiti, i costi, il tempo richiesto per il test del software, ecc. vengono considerati per calcolare il punteggio di efficacia del test.
- Lo scoping del test รจ un'attivitร di revisione che richiede la partecipazione di tutte le parti interessate e del personale tecnico. ร importante rispettare lโentitร dei rischi concordata. Questi rischi devono essere affrontati mediante test e tutti i membri concordano con le responsabilitร loro assegnate e con il budget assegnato per queste attivitร .
- Dopo che l'ambito del test รจ stato finalizzato, gli obiettivi, le ipotesi e le dipendenze del test per ciascuna fase del test devono essere compilati nel formato standard.
Consideriamo i requisiti funzionali F1, F2, F3 e i requisiti non funzionali N1 e N2
F1-Requisito Funzionale, R1-Rischio Associato a F1
- Obiettivo del test 1: dimostrare tramite un test che le caratteristiche e le funzionalitร previste del sistema funzionano correttamente e che il rischio R1 puรฒ essere affrontato mediante test funzionali
- Test-Il test della pagina del browser viene eseguito per eseguire importanti attivitร utente e verificare che R1 (rischio associato a F1) possa essere affrontato in una serie di scenari.
F2-Requisito Funzionale, R2-Rischio Associato a F2
- Obiettivo del test 2: Dimostrare utilizzando a Test che le caratteristiche e le funzionalitร previste del sistema funzionino correttamente e che il rischio R2 possa essere affrontato mediante test funzionali
- Test-Il test della pagina del browser viene eseguito per eseguire importanti attivitร utente e verificare che R2 possa essere affrontato in una serie di scenari
F3-Requisito Funzionale, R3-Rischio Associato a F3
- Obiettivo del test 3: Dimostrare utilizzando a Test che le caratteristiche e le funzionalitร previste del sistema funzionino correttamente e che il rischio R3 possa essere affrontato mediante test funzionali
- Test-Il test della pagina del browser viene eseguito per eseguire importanti attivitร utente e verificare che R3 possa essere affrontato in una serie di scenari
N1-Requisito non funzionale, NR1-Rischio associato a N1
- Obiettivo del test N1: Dimostrare utilizzando a Test che le caratteristiche operative del sistema funzionino correttamente e che il rischio NR1 possa essere risolto mediante test non funzionali
- Test-Il test di usabilitร รจ una tecnica utilizzata per valutare quanto siano facili da usare le interfacce utente e verificare che l'NR1 possa essere affrontato dai test di usabilitร
N2-Requisito non funzionale, NR2-Rischio associato a N2
- Obiettivo del test N.2- Dimostrare tramite un test che le caratteristiche operative del sistema funzionano correttamente e che il rischio NR2 puรฒ essere affrontato mediante test non funzionali
- Il test Test-Security รจ una tecnica utilizzata per verificare se l'applicazione รจ protetta o vulnerabile agli attacchi, se vi sono perdite di informazioni e verifica che NR2 possa essere risolto dai test di sicurezza.
Obiettivi specifici del test: I rischi e gli obiettivi dei test elencati sono specifici per i tipi di test.
Procedura per progettare il processo di test basato sul rischio
- Preparare un registro dei rischi. Questo registra i rischi derivati โโdall'elenco dei rischi generico, dalla lista di controllo esistente, dalla sessione di brainstorming.
- Includere i rischi associati ai requisiti funzionali e non funzionali del sistema (usabilitร , sicurezza, prestazioni)
- A ogni rischio viene assegnato un identificatore univoco
| Col n. | Intestazione di colonna | Descrizione |
|---|---|---|
| 3 | Probabilitร | Probabilitร che il sistema sia soggetto a questa modalitร di fallimento |
| 4 | Conseguenze | impatto di questa modalitร di fallimento |
| 5 | Esposizione | Prodotto di probabilitร e conseguenze (colonne 3 e 4) |
| 6 | Testare l'efficacia | Quanto sono sicuri i tester di poter affrontare questo rischio? |
| 7 | Testare il numero di prioritร | Prodotto di probabilitร , conseguenze ed efficacia del test (colonna 3,4 6) |
| 8 | Obiettivo/i del test | quale obiettivo del test verrร utilizzato per affrontare questo rischio |
| 9 | Tecniche di prova | quale metodo o tecnica viene utilizzato |
| 10 | dipendenze | Cosa presuppongono e da cosa dipendono i tester |
| 11 | Sforzo | Quanto impegno รจ richiesto per questo test |
| 12 | Tempistica | Quanto tempo รจ necessario per eseguire questo test |
| 13 | Fase di test Test sulle unitร A Fase di test Test di integrazione B Fase di test Test del sistema C | Nome della persona o del gruppo che svolge questa attivitร |
Vengono valutate la probabilitร (1 bassa -5 alta) e le conseguenze (1 bassa -5 alta) di ciascun rischio
- L'esposizione del test viene calcolata
- Il tester analizza ciascun rischio e valuta se il rischio รจ testabile o meno
- Gli obiettivi del test sono definiti per i rischi testabili
- Il tester specifica l'attivitร di test che dovrebbe essere eseguita in modo pianificato per soddisfare l'obiettivo del test (revisioni statiche, ispezioni, test di sistema, test di integrazione, test di accettazione, convalida html, test di localizzazione, ecc.)
- Tali attivitร di testing possono essere classificate in fasi (Component Testing/Test unitari, Test di integrazione, Test di sistema, Test di accettazione)
- A volte, un rischio potrebbe essere affrontato mediante una o piรน fasi di test
- Identificare le dipendenze e i presupposti (Disponibilitร di competenze, strumenti, ambienti di test, risorse)
- L'efficacia del test viene calcolata. L'efficacia del test si riferisce al livello di confidenza del tester che il rischio verrร definitivamente affrontato attraverso il test. Il punteggio di efficacia del test รจ un numero compreso tra uno e cinque. (5-Confidenza alta, 1-Confidenza bassa)
- Stima dello sforzo, del tempo richiesto e dei costi per preparare ed eseguire questi test.
- Viene calcolato il numero di prioritร del test. ร il prodotto di probabilitร , conseguenze e punteggi di efficacia del test.
- 125-MassimoUn rischio molto grave che potrebbe essere rilevato con i test
- 1-Minimo ร Un rischio molto basso che non verrebbe rilevato con i test
- In base al numero di prioritร del test, l'importanza del test puรฒ essere classificata come Alta (Rosso), Media (Giallo) e Bassa (Verde). Gli articoli a rischio piรน elevato vengono testati per primi.
- Assegnazione delle attivitร di test alle fasi di test. Designare il gruppo che eseguirร il test per ciascun obiettivo nelle diverse fasi di test (Test unitario, Test di integrazione, Test di sistema, Test di accettazione)
- Ciรฒ che rientra e ciรฒ che non rientra nell'ambito del test viene deciso nella fase di definizione dell'ambito del test
- Per ciascuna fase del test vengono definiti obiettivi, componente sotto test, responsabilitร , ambiente, criteri di ingresso, criteri di uscita, strumenti, tecniche, risultati finali.
Obiettivi generici del test: questi obiettivi generici sono applicabili a piรน progetti e applicazioni
- Il componente soddisfa i requisiti ed รจ pronto per l'uso in sottosistemi piรน grandi
- Vengono affrontati i rischi associati ai tipi di test specifici e gli obiettivi del test vengono raggiunti.
- I componenti integrati sono assemblati correttamente. Garantire la compatibilitร dell'interfaccia tra i componenti.
- Il sistema soddisfa i requisiti funzionali e non funzionali specificati.
- I componenti del prodotto soddisfano le esigenze dell'utente finale nell'ambiente operativo previsto
- La strategia di gestione del rischio viene utilizzata per identificare, analizzare e mitigare i rischi.
- Il sistema soddisfa i requisiti normativi del settore
- Il Sistema soddisfa gli obblighi contrattuali
- Istituzionalizzazione e raggiungimento di altri obiettivi specifici stabiliti quali obiettivi di costo, tempistica e qualitร .
- Sistema, processi e persone soddisfano i requisiti aziendali
ร possibile definire obiettivi di test generici per le diverse fasi del test
- Test dei componenti
- Test d'integrazione
- Test di sistema
- Test di accettazione
Consideriamo la fase di test del sistema
- G4 e G5 dimostrano che il sistema soddisfa i requisiti funzionali (F1, F2, F3) e non funzionali (N1, N2).
- Dimostrare mediante test che le caratteristiche e le funzionalitร previste del sistema funzionano correttamente e che il rischio associato a F1, F2, F3 puรฒ essere affrontato mediante test funzionali
- Dimostrare mediante test che le caratteristiche operative del sistema funzionano bene e che il rischio associato a N1, N2 puรฒ essere risolto mediante test non funzionali
- In base al numero di prioritร del test, l'importanza del test puรฒ essere classificata come Alta (Rosso), Media (Giallo) e Bassa (Verde).
Matrice di definizione delle prioritร e di valutazione del rischio
La matrice di valutazione del rischio รจ la matrice dellโimpatto della probabilitร . Fornisce al team di progetto una rapida visione dei rischi e della prioritร con cui ciascuno di questi rischi deve essere affrontato.
Risk rating = Probability x Severity
La probabilitร รจ la misura della possibilitร che si verifichi un evento incerto. Esposizione in termini di tempo, prossimitร e ripetizione. ร espresso in termini di percentuale.
Questo puรฒ essere classificato come Frequente(A), Probabile(B), Occasionale(C), Remoto(D), Improbabile(E), Eliminato(F)
- Frequente: รจ previsto che si verifichi piรน volte nella maggior parte dei casi (91 โ 100%)
- Probabile: probabile che si verifichi piรน volte nella maggior parte dei casi (61 โ 90%)
- Occasionale: potrebbe verificarsi qualche volta (41 โ 60%)
- Remoto โ ร improbabile che si verifichi/potrebbe verificarsi prima o poi (11 โ 40%)
- Improbabile: puรฒ verificarsi in circostanze rare ed eccezionali (0 -10%)
- Elimina-Impossibile che si verifichi (0%)
La gravitร รจ il grado di impatto del danno o della perdita causati dallโevento incerto. Punteggio da 1 a 4 e puรฒ essere classificato come Catastrofico=1, Critico=2, Marginale=3, Trascurabile=4
- Catastrofico โ Conseguenze dure che rendono il progetto completamente improduttivo e potrebbero persino portare alla chiusura del progetto. Questa deve essere una prioritร assoluta durante la gestione del rischio.
- criticoโ Grandi conseguenze che possono portare a perdite ingenti. Il progetto รจ gravemente minacciato.
- Marginale โ Danni a breve termine ancora reversibili attraverso attivitร di ripristino.
- Trascurabileโ Danni o perdite lievi o minimi. Questo puรฒ essere monitorato e gestito mediante procedure di routine.
La prioritร รจ classificata in quattro categorie, mappate in base alla gravitร e alla probabilitร del rischio, come mostrato nell'immagine seguente.
- Grave
- Alto
- Medio
- Basso
Grave: I rischi che rientrano in questa categoria sono contrassegnati in colore ambra. Lโattivitร deve essere interrotta e devono essere intraprese azioni immediate per isolare il rischio. ร necessario identificare e implementare controlli efficaci. Inoltre, l'attivitร non deve procedere a meno che il rischio non sia ridotto a un livello basso o medio.
Alto: I rischi che rientrano in questa categoria sono contrassegnati in colore rosso come azioni o strategie di gestione del rischio. ร necessario intraprendere azioni immediate per isolare, eliminare, sostituire il rischio e implementare controlli efficaci del rischio. Se questi problemi non possono essere risolti immediatamente, รจ necessario definire tempistiche rigorose per risolverli.
Medium: I rischi che rientrano in questa categoria sono contrassegnati in colore Giallo. ร necessario adottare misure ragionevoli e pratiche per ridurre al minimo i rischi.
Basso: I rischi che rientrano in questa categoria sono contrassegnati in colore verde) possono essere ignorati in quanto di solito non pongono alcun problema significativo. La revisione periodica รจ necessaria per garantire che i controlli rimangano efficaci
Lista di controllo generica per i test basati sul rischio
Elenco completo di punti importanti da considerare nei test basati sul rischio
- Funzionalitร importanti nel progetto.
- Funzionalitร visibile all'utente nel progetto
- La funzionalitร che ha il maggiore impatto sulla sicurezza
- Funzionalitร che hanno il maggiore impatto finanziario sugli utenti
- Aree altamente complesse del codice sorgente e codici soggetti a errori
- Caratteristiche o funzioni che possono essere testate nelle prime fasi del ciclo di sviluppo.
- Caratteristiche o funzionalitร sono state aggiunte al design del prodotto all'ultimo minuto.
- Fattori critici di progetti precedenti simili/correlati che hanno causato problemi/problemi.
- Fattori principali o problemi di progetti simili/correlati che hanno avuto un impatto enorme sulle spese di funzionamento e manutenzione.
- Requisiti inadeguati che portano a progettazioni e test inadeguati che potrebbero avere un impatto sugli obiettivi e sui risultati finali del progetto.
- Nel peggiore dei casi, un prodotto potrebbe essere cosรฌ difettoso da non poter essere rilavorato e dover essere completamente rottamato, causando gravi danni alla reputazione dell'azienda. Identificare il tipo di problemi cruciali per gli obiettivi del prodotto.
- Situazioni o problemi che potrebbero causare reclami persistenti al servizio clienti.
- I test end-to-end potrebbero facilmente concentrarsi sulle molteplici funzionalitร del sistema.
- Insieme ottimale di test in grado di massimizzare la copertura del rischio
- Quali test avranno il miglior rapporto tra copertura ad alto rischio e tempo richiesto?
Reporting e metriche sui risultati dei test basati sul rischio
- Preparazione del rapporto di provaSegnalare lo stato del test significa comunicare in modo efficace i risultati del test alle parti interessate del progetto. E per fornire una comprensione chiara e mostrare il confronto dei risultati dei test con gli obiettivi del test.
- Numero di casi di test pianificati ed eseguiti
- Numero di casi di test superati/falliti
- Numero di difetti identificati e loro stato e gravitร
- Numero di difetti e loro stato
- Numero di difetti critici: ancora aperti
- Tempi di inattivitร dell'ambiente, se presenti
- Showstoppers โ se presentiRelazione riepilogativa del test, relazione sulla copertura del test
- Preparazione delle metricheLa metrica รจ una combinazione di due o piรน misure utilizzate per confrontare processi, progetti e prodotti software.
- Variazione dello sforzo e del programma
- Produttivitร nella preparazione dei test case
- Testare la copertura del progetto
- Produttivitร nell'esecuzione dei casi di test
- Efficienza di identificazione del rischio%
- Efficienza di mitigazione del rischio%
- Efficacia del test%
- Copertura dell'esecuzione dei test
- Produttivitร dell'esecuzione dei test
- Perdita difettosa%
- Efficienza nel rilevamento dei difetti
- Indice di stabilitร dei requisiti
- Costo della qualitร
- Analizzare i rischi in categorie non funzionali (prestazioni, affidabilitร e usabilitร ) in base allo stato di difetto e a una serie di stati di superamento/fallimento dei test, in base alla loro relazione con i rischi.
- Analizzare i rischi in categorie funzionali, metriche di test, stato di difetto e stato di superamento/fallimento del test, in base alla loro relazione con i rischi.
- Identificare i principali indicatori di lead e lag e creare indicatori di allarme precoce
- Monitorare e creare report sugli indicatori di rischio di lead e lag (Key Risk Indicators) analizzando i modelli di dati, le tendenze e le interdipendenze.
Valutazione del rischio intrinseco e del rischio residuo
Lโidentificazione e lโanalisi dei rischi dovrebbero includere anche i rischi intrinseci, i rischi residui, i rischi secondari e i rischi ricorrenti
- Rischio intrinseco: I rischi identificati/giร presenti nel sistema prima che i controlli e le risposte fossero implementati. I rischi intrinseci sono noti anche come rischi lordi
- Rischio residuo: i rischi che rimangono dopo che i controlli e le risposte sono stati implementati. I rischi residui sono noti come rischi netti
- Rischio secondario: Il nuovo rischio causato dallโimplementazione del piano di risposta al rischio
- Rischi ricorrenti: Probabilitร che si verifichino i rischi iniziali.
La misurazione dei risultati dei test basata sul rischio aiuta l'organizzazione a conoscere il livello residuo di rischio di qualitร durante l'esecuzione dei test e a prendere decisioni intelligenti sul rilascio.
Profilazione del rischio e feedback dei clienti
La profilazione del rischio รจ un processo per trovare il livello ottimale di rischio di investimento per il cliente considerando il rischio richiesto, la capacitร di rischio e la tolleranza al rischio.
- Il rischio richiesto รจ il livello di rischio che il cliente deve assumersi per ottenere un rendimento soddisfacente
- La capacitร di rischio รจ il livello di rischio finanziario che il cliente puรฒ permettersi di assumere
- La tolleranza al rischio รจ il livello di rischio che il cliente preferirebbe correre
Feedback del cliente
Raccogli feedback e recensioni dei clienti per migliorare l'attivitร , il prodotto, il servizio e l'esperienza.
Vantaggi dei test basati sul rischio
I vantaggi dei test basati sul rischio sono riportati di seguito
- Maggiore produttivitร e riduzione dei costi
- Migliori opportunitร di mercato (Time to market) e consegna puntuale.
- Prestazioni del servizio migliorate
- Qualitร migliorata poichรฉ tutte le funzioni critiche dell'applicazione vengono testate.
- Fornisce informazioni chiare sulla copertura del test. Utilizzando questo approccio, sappiamo cosa รจ stato/non รจ stato testato.
- L'allocazione dello sforzo di test basato sulla valutazione del rischio รจ il modo piรน efficiente ed efficace per ridurre al minimo il rischio residuo al momento del rilascio.
- La misurazione dei risultati dei test basata sull'analisi del rischio consente all'organizzazione di identificare il livello residuo di rischio di qualitร durante l'esecuzione dei test e di prendere decisioni intelligenti sul rilascio.
- Test ottimizzati con metodi di valutazione del rischio altamente definiti.
- Maggiore soddisfazione del cliente: grazie al coinvolgimento del cliente, al buon reporting e al monitoraggio dei progressi.
- Individuazione precoce delle potenziali aree problematiche. Per superare questi problemi รจ possibile adottare misure preventive efficaci
- Il monitoraggio e la valutazione continui del rischio durante l'intero ciclo di vita del progetto aiutano a identificare e risolvere i rischi e ad affrontare le questioni che potrebbero mettere a repentaglio il raggiungimento degli scopi e degli obiettivi generali del progetto.
Sintesi
Nell'ingegneria del software, i test basati sul rischio sono il modo piรน efficiente per guidare il progetto in base ai rischi.
Gli sforzi di test sono organizzati in modo efficace e viene valutato il livello di prioritร di ciascun elemento di rischio. Ciascun rischio viene quindi associato alle attivitร di test appropriate, dove un singolo test ha piรน di un elemento di rischio, quindi il test viene assegnato come rischio piรน elevato.
I test vengono eseguiti secondo l'ordine di prioritร del rischio. Il processo di monitoraggio del rischio aiuta a tenere traccia dei rischi identificati e a ridurre lโimpatto dei rischi residui.
