IT紧随业务频动，质量管理如何御风而行？

市场瞬息万变，业务随时都在发生变化，而在业务与IT技术紧密结合的今天，业务的变化势必引发IT系统的变动。企业的IT系统，主要分为三个层面：最底层是IT基础设施，其上是IT 系统平台，再往上是IT应用。与业务对接的正是IT应用，针对IT应用质量的管理直接影响业务的运行。

无测试无质量

有句广告词说得好，"不看广告看疗效。"任何商品，只有在使用过程中才能知道其质量好坏，IT应用更是如此。IT应用质量的确保，需要做大量的测试工作。但很多企业重开发，轻测试，在投入使用后才发现应用质量不过关，但此时已经妨碍了业务，直接导致企业客户的流失、市场上品牌与信用的受损等。

调查表明，IT高管中有76％都认为在过去两年中他们实施的IT项目只有不到 50％的项目达到了预期的业务成果。那些失败的IT项目给用户造成了非常大的业务风险，用户不得不通过二次或多次重复开发来提高应用质量满足业务需求，其开发成本以及给业务所造成的损失远远超过对软件测试的投入，是一种极大的浪费。

这种局面并非是企业的粗心大意造成的，相反绝大多数企业在选择昂贵的IT应用时都极其审慎，主要是两个认识误区使企业忽视了测试。

一是很多企业认为，他们购买的是大品牌厂商的产品，都是经过严格测试没有质量问题的。的确很多软件产品出厂时质量是非常好的，但是在提供给终端用户的时候，每个客户又有各不相同的需求和情况，这就需要软件产品能提供一些"个性化"应用。往往是在"个性化"实施过程中，出现许多问题，这是很多企业始料未及的。

又或者很多企业认为只要交给第三方评测中心，出具权威证明，就可以高枕无忧了。但企业的IT应用在不断变动，因为企业的业务在不断变动，用户往往必需要做很多修改来适应业务流程需求，然后往往正是由于这些修改,造成产品在具体应用时出现许多想象不到的问题，因此用户需要在IT应用的实际环境中进行各种测试来考量IT应用质量。

因此，不能将IT应用的质量只寄托在软件开发商与第三方评测身上，国内用户往往将IT项目失败的原因归咎到第三方身上，其实这是错误的，对这些IT项目失败，企业的CIO应该负主要责任。支撑业务系统的IT系统质量关系企业命脉，不能依靠第三方来保证，一定要掌握在自己手里。在准备上IT应用前，用户就应当计划足够的预算与人员来保障IT应用质量。

所以，软件测试不是传统意义上软件产品交付前单一的"找错"过程，而是软件正常交付、应用提升的一大利器。它贯穿于软件生产过程的始终，是一个科学的质量控制过程。从一个软件项目的需求调研、设计、编码、验收，直到运行维护，整个过程都需要有软件测试工程师的介入和把关。

无工具无测试

"工欲善其事，必先利其器。"在IT系统拥有海量数据，并在各种环境大规模应用的今天，光凭人工测试很难做到高效率与高可靠性。

在 IDC近年一次调查中，75%的被调查对象承认他们至少遭受了一次成功入侵系统的事件：我们的企业每年花几十亿美元来保护信息系统安全，高层管理在新生成的法律压力之下对安全也越发重视。然而传统的防范做法已不再像人们想象的那么有效，攻击者已经发现了一条新的途径–即攻击我们的应用系统。

Gartner 组织2005年底预言80%的公司在2009年之前会发生至少一次应用软件安全事故。随之而来的行动将是各个公司或政府组织在软件开发团队中增加测试团队或专业安全测试人员。越来越多的企业发现，在Web应用程序的生产过程中存在安全漏洞，应用程序的安全问题正在成为在开发和质量保证中优先考虑的因素。

"IT 应用质量管理，除了人的经验与策略，一套强大的IT质量管理工具也很重要"，北京数字证书认证中心高级安全咨询顾问董鹏在接受中国信息主管网的记者采访时表示，"在安全测试领域，最少都有十几万行代码，光凭人眼很难在短时间内找出这些代码漏洞，而一些测试工具可以提供自动化代码审计，对海量数据分析特别有效。"

北京数字证书认证中心是获得工信部电子认证服务许可资质的电子认证服务商，是具有国家涉密集成资质、国家信息安全服务安全工程类资质、以及北京市信息安全服务能力壹级资质的信息安全服务商，主要提供CA认证，数字证书，数字认证，数字签名等电子签名，电子认证服务和PKI相关产品，提供安全服务和安全咨询服务。

在北京数字证书认证中心致力于提供高品质的信息安全服务，为用户打造安全可信的网络空间，在北京数字证书认证中心多年的安全服务实践中，业务安全保障是重中之重，其安全攻防实验室经理涂元浩告诉中国信息主管网的记者："在互联网普及的今天，大量越来越复杂的WEB应用被交付企业使用，人工在短时间内只能检查几类重点漏洞，要涵盖WEB应用的全面安全，则要引进一些自动化测试工具。对于测试人员而言，这样的工具要易操作，并且能很快展现出一个应用的整体框架，即能让测试人员迅速了解整体漏洞情况，这样在后期再经测试人员的一一检查确认，结合工具的效率与人的经验知识，就可以完成一个复杂应用全面精准的测试，以最大程度保证其质量。"

安全测试领域必须由企业的安全部门和软件开发部门的紧密合作才能成功，因为软件安全包含了风险管理和软件开发。在今天这样复杂的软件应用系统中，安全漏洞可以隐藏在这些地方中的任何一个部分。倘若不运用自动化的检测工具，则无法发现这些隐藏的安全漏洞。将检测安全漏洞的任务交给代码检测部门做人工检查是基本不现实的。

惠普的 WebInspect可以分析当今基于正在兴起的 Web 2.0技术的复杂 Web应用程序，它具备快速扫描能力、广泛的评估范围且可提供精确的Web应用程序扫描结果。WebInspect的SecureBase是一个应用层漏洞数据库，包括约4400个独特的Web应用漏洞、危胁与安全检查，是全球最大、最全面的此类数据库。

安全测试只是惠普质量管理中心（AQM, Application Quality Management）的一部分，此外还有功能与性能测试。这三大支柱构成了IT应用的质量管理：首先应用能够运行吗？其次应用运行得好吗？最后是应用安全吗？

为了在各种环境中实现软件测试和质量保障自动化，惠普质量管理软件通过严密控制的质量测试环境，最大程度地降低了部署新应用和更新应用带来的业务风险；控制质量管理，让其能够改善可视性、生产效率、可跟踪性和可重复性；降低了对于手动流程的依赖，节省了大量人工成本和法规遵从成本；测试流程从3天缩短到2个小时，在频繁构建应用的情况下，这可以带来大幅的成本节约。与此同时，各种应用和环境在质量、可靠性、稳定性和性能方面都得到了改善。

未经允许不得转载：DOIT » IT紧随业务频动，质量管理如何御风而行？