IT緊隨業務頻動，質量管理如何御風而行？

市場瞬息萬變，業務隨時都在發生變化，而在業務與IT技術緊密結合的今天，業務的變化勢必引發IT系統的變動。企業的IT系統，主要分為三個層面：最底層是IT基礎設施，其上是IT 系統平臺，再往上是IT應用。與業務對接的正是IT應用，針對IT應用質量的管理直接影響業務的運行。

無測試無質量

有句廣告詞說得好，"不看廣告看療效。"任何商品，只有在使用過程中才能知道其質量好壞，IT應用更是如此。IT應用質量的確保，需要做大量的測試工作。但很多企業重開發，輕測試，在投入使用后才發現應用質量不過關，但此時已經妨礙了業務，直接導致企業客戶的流失、市場上品牌與信用的受損等。

調查表明，IT高管中有76％都認為在過去兩年中他們實施的IT項目只有不到 50％的項目達到了預期的業務成果。那些失敗的IT項目給用戶造成了非常大的業務風險，用戶不得不通過二次或多次重復開發來提高應用質量滿足業務需求，其開發成本以及給業務所造成的損失遠遠超過對軟件測試的投入，是一種極大的浪費。

這種局面并非是企業的粗心大意造成的，相反絕大多數企業在選擇昂貴的IT應用時都極其審慎，主要是兩個認識誤區使企業忽視了測試。

一是很多企業認為，他們購買的是大品牌廠商的產品，都是經過嚴格測試沒有質量問題的。的確很多軟件產品出廠時質量是非常好的，但是在提供給終端用戶的時候，每個客戶又有各不相同的需求和情況，這就需要軟件產品能提供一些"個性化"應用。往往是在"個性化"實施過程中，出現許多問題，這是很多企業始料未及的。

又或者很多企業認為只要交給第三方評測中心，出具權威證明，就可以高枕無憂了。但企業的IT應用在不斷變動，因為企業的業務在不斷變動，用戶往往必需要做很多修改來適應業務流程需求，然后往往正是由于這些修改,造成產品在具體應用時出現許多想象不到的問題，因此用戶需要在IT應用的實際環境中進行各種測試來考量IT應用質量。

因此，不能將IT應用的質量只寄托在軟件開發商與第三方評測身上，國內用戶往往將IT項目失敗的原因歸咎到第三方身上，其實這是錯誤的，對這些IT項目失敗，企業的CIO應該負主要責任。支撐業務系統的IT系統質量關系企業命脈，不能依靠第三方來保證，一定要掌握在自己手里。在準備上IT應用前，用戶就應當計劃足夠的預算與人員來保障IT應用質量。

所以，軟件測試不是傳統意義上軟件產品交付前單一的"找錯"過程，而是軟件正常交付、應用提升的一大利器。它貫穿于軟件生產過程的始終，是一個科學的質量控制過程。從一個軟件項目的需求調研、設計、編碼、驗收，直到運行維護，整個過程都需要有軟件測試工程師的介入和把關。

無工具無測試

"工欲善其事，必先利其器。"在IT系統擁有海量數據，并在各種環境大規模應用的今天，光憑人工測試很難做到高效率與高可靠性。

在 IDC近年一次調查中，75%的被調查對象承認他們至少遭受了一次成功入侵系統的事件：我們的企業每年花幾十億美元來保護信息系統安全，高層管理在新生成的法律壓力之下對安全也越發重視。然而傳統的防范做法已不再像人們想象的那么有效，攻擊者已經發現了一條新的途徑–即攻擊我們的應用系統。

Gartner 組織2005年底預言80%的公司在2009年之前會發生至少一次應用軟件安全事故。隨之而來的行動將是各個公司或政府組織在軟件開發團隊中增加測試團隊或專業安全測試人員。越來越多的企業發現，在Web應用程序的生產過程中存在安全漏洞，應用程序的安全問題正在成為在開發和質量保證中優先考慮的因素。

"IT 應用質量管理，除了人的經驗與策略，一套強大的IT質量管理工具也很重要"，北京數字證書認證中心高級安全咨詢顧問董鵬在接受中國信息主管網的記者采訪時表示，"在安全測試領域，最少都有十幾萬行代碼，光憑人眼很難在短時間內找出這些代碼漏洞，而一些測試工具可以提供自動化代碼審計，對海量數據分析特別有效。"

北京數字證書認證中心是獲得工信部電子認證服務許可資質的電子認證服務商，是具有國家涉密集成資質、國家信息安全服務安全工程類資質、以及北京市信息安全服務能力壹級資質的信息安全服務商，主要提供CA認證，數字證書，數字認證，數字簽名等電子簽名，電子認證服務和PKI相關產品，提供安全服務和安全咨詢服務。

在北京數字證書認證中心致力于提供高品質的信息安全服務，為用戶打造安全可信的網絡空間，在北京數字證書認證中心多年的安全服務實踐中，業務安全保障是重中之重，其安全攻防實驗室經理涂元浩告訴中國信息主管網的記者："在互聯網普及的今天，大量越來越復雜的WEB應用被交付企業使用，人工在短時間內只能檢查幾類重點漏洞，要涵蓋WEB應用的全面安全，則要引進一些自動化測試工具。對于測試人員而言，這樣的工具要易操作，并且能很快展現出一個應用的整體框架，即能讓測試人員迅速了解整體漏洞情況，這樣在后期再經測試人員的一一檢查確認，結合工具的效率與人的經驗知識，就可以完成一個復雜應用全面精準的測試，以最大程度保證其質量。"

安全測試領域必須由企業的安全部門和軟件開發部門的緊密合作才能成功，因為軟件安全包含了風險管理和軟件開發。在今天這樣復雜的軟件應用系統中，安全漏洞可以隱藏在這些地方中的任何一個部分。倘若不運用自動化的檢測工具，則無法發現這些隱藏的安全漏洞。將檢測安全漏洞的任務交給代碼檢測部門做人工檢查是基本不現實的。

惠普的 WebInspect可以分析當今基于正在興起的 Web 2.0技術的復雜 Web應用程序，它具備快速掃描能力、廣泛的評估范圍且可提供精確的Web應用程序掃描結果。WebInspect的SecureBase是一個應用層漏洞數據庫，包括約4400個獨特的Web應用漏洞、危脅與安全檢查，是全球最大、最全面的此類數據庫。

安全測試只是惠普質量管理中心（AQM, Application Quality Management）的一部分，此外還有功能與性能測試。這三大支柱構成了IT應用的質量管理：首先應用能夠運行嗎？其次應用運行得好嗎？最后是應用安全嗎？

為了在各種環境中實現軟件測試和質量保障自動化，惠普質量管理軟件通過嚴密控制的質量測試環境，最大程度地降低了部署新應用和更新應用帶來的業務風險；控制質量管理，讓其能夠改善可視性、生產效率、可跟蹤性和可重復性；降低了對于手動流程的依賴，節省了大量人工成本和法規遵從成本；測試流程從3天縮短到2個小時，在頻繁構建應用的情況下，這可以帶來大幅的成本節約。與此同時，各種應用和環境在質量、可靠性、穩定性和性能方面都得到了改善。