KUNGFU TECH

0
0
Lập trình
NM
Nguyen Minhtamdehmivor

Kiểm Thử Nâng Cao: Quan Trọng nhưng Bị Hiểu Sai

Đăng vào 7 tháng trước

• 7 phút đọc

Chủ đề:

#testing

Giới Thiệu

Trong thế giới phát triển phần mềm, việc kiểm thử thường bị xem nhẹ giống như việc đánh răng: mọi người đều đồng ý rằng nó quan trọng, nhưng khi đến thời hạn, nhiều người lại bỏ qua. Chúng ta thường chỉ thực hiện một vài bài kiểm tra đơn vị, có thể là một vài bài kiểm tra tích hợp, và nếu Jenkins báo đèn xanh, chúng ta sẽ xuất bản và đi ăn tacos.

Tuy nhiên, những lỗi sẽ khiến bạn phải thức dậy lúc 3 giờ sáng cuối tuần không bao giờ xuất hiện trên con đường hạnh phúc. Chúng ẩn nấp trong bóng tối, chờ đợi những đầu vào kỳ quặc, những sự cố mạng, hay những tình huống kỳ lạ như “có gì xảy ra nếu hai lần thử nghiệm trùng lặp vào năm nhuận trong giờ tiết kiệm ánh sáng?” Đó chính là lý do mà kiểm thử nâng cao trở nên cần thiết—fuzzing, kỹ thuật kỹ sư hỗn loạn, các bất biến—những thứ nghe có vẻ như đến từ phòng thí nghiệm của một nhà khoa học điên. Hầu hết các lập trình viên đều lắc đầu và nghĩ rằng điều này là thừa thãi. Tôi hiểu. Tôi cũng từng nghĩ như vậy. Cho đến khi tôi chứng kiến những gì xảy ra khi bạn không thực hiện chúng. Cảnh báo: nó rất tệ.

Fuzz Testing: Đưa Cho Mã Của Bạn Những Đầu Vào Kỳ Quặc

Fuzz testing là một phương pháp kiểm thử phần mềm tương tự như việc để trẻ em vẽ lên tờ khai thuế của bạn bằng bút màu. Hãy làm xáo trộn mã của bạn với những đầu vào kỳ lạ, không chính xác, hoàn toàn là “ai mà lại làm điều này chứ?” Và đây là điểm thú vị: nó hoạt động. Rất nhiều.

Dự án OSS-Fuzz của Google đã hoạt động liên tục trên hàng trăm dự án mã nguồn mở trong nhiều năm. Nó đã giúp khắc phục 8.000 lỗ hổng bảo mật và 26.000 lỗi khác trong phần mềm quan trọng (Google Security Blog, 2022). Gần đây, Google đã nâng cấp OSS-Fuzz với các mục tiêu fuzz được tạo ra bởi AI, phát hiện 26 lỗ hổng mới, bao gồm một lỗi đã tồn tại trong OpenSSL suốt một thập kỷ (Google Security Blog, 2024).

Vì vậy, fuzzing không còn là thứ của những hacker ngách nữa. Google gọi đây là “phương pháp kiểm thử cần thiết cho tất cả các dự án phần mềm.” Đó không phải là một gợi ý—đó là đai an toàn.

Kỹ Thuật Kỹ Sư Hỗn Loạn: Cố Tình Đập Phá (Mà Không Bị Sa Thải)

Kỹ thuật kỹ sư hỗn loạn: ý tưởng “có gì xảy ra nếu chúng ta ngắt kết nối các máy chủ một cách ngẫu nhiên và xem điều gì xảy ra.” Nghe có vẻ giống như một giờ nghỉ trưa sai lầm, nhưng Netflix đã xây dựng một công cụ để làm chính xác điều đó—Chaos Monkey (Netflix Tech Blog). Nó ngẫu nhiên kết thúc các phiên bản trong môi trường sản xuất để kiểm tra khả năng phục hồi. Và không, họ không sa thải người đã viết nó—họ đã thăng chức cho anh ta.

Chaos Monkey là cánh cổng mở ra cho Quân Đội Simian của Netflix, một bộ công cụ thiết kế để mô phỏng mọi thứ từ sự cố máy chủ đơn lẻ đến sự cố toàn khu vực (Netflix Tech Blog, 2015).

Jeff Atwood đã tóm tắt một cách thẳng thắn: “Mặc dù nghe có vẻ điên rồ, cách tốt nhất để tránh thất bại là thất bại liên tục.” (Wired, 2012). Và bằng chứng? Khi một sự cố lớn của AWS làm sập một nửa internet, Netflix vẫn tiếp tục phát sóng Stranger Things như không có gì xảy ra. Sự hỗn loạn có kiểm soát luôn tốt hơn sự hoảng loạn không kiểm soát.

Bất Biến và Các Phương Pháp Chính Thức: Các Quy Tắc Không Bao Giờ Bị Phá Vỡ (Trừ Khi Chúng Bị)

Bất biến là những quy tắc không thể phá vỡ của hệ thống bạn—như “tiền không tự dưng xuất hiện,” hay “tổng số dư phải giữ nguyên.” Amazon Web Services sử dụng các phương pháp chính thức, cụ thể là TLA+, để mô hình hóa và xác minh tính đúng đắn của hệ thống trước khi mã được đưa vào sản xuất.

Kỹ sư của họ đã phát hiện ra các lỗi trong thiết kế hệ thống đã vượt qua các đánh giá mã, kiểm tra đơn vị, kiểm tra tích hợp và thậm chí cả kiểm tra lỗi. Đây là những lỗi mà chỉ việc kiểm tra bất biến toán học mới phát hiện ra (CACM, “Cách AWS Sử Dụng Các Phương Pháp Chính Thức”).

Và không chỉ là lý thuyết nghiên cứu—AWS S3 sử dụng lý luận tự động và kiểm thử dựa trên thuộc tính để xác thực lưu trữ ở quy mô toàn cầu. Theo blog kỹ thuật của họ, các phương pháp chính thức nhẹ nhàng chỉ tạo ra khoảng 13% chi phí phát triển nhưng giảm thiểu đáng kể các lỗi thiết kế thảm họa (AWS Storage Blog, 2022).

Tại Sao Mọi Người Nghĩ Những Điều Này Là Thừa Thãi?

Bởi vì lập trình viên cũng là con người. Chúng ta tin tưởng vào các framework, trình biên dịch và khẩu hiệu “chạy trên máy của tôi” nhiều hơn mức cần thiết. Chúng ta giảm thiểu các sự kiện hiếm hoi cho đến khi một trong số chúng kéo chúng ta dậy vào lúc 3 giờ sáng. Kiểm thử nâng cao có thể cảm thấy như bài tập về nhà mà bạn sẽ không bao giờ thấy lợi ích—cho đến khi bạn thực sự thấy.

Cũng có một phần về cái tôi. Nếu bạn xây dựng một thứ gì đó, việc chứng kiến ai đó cố tình đập phá nó bằng các đầu vào fuzz hoặc thử nghiệm hỗn loạn có thể cảm thấy như một sự phán xét cá nhân. Nhưng không phải vậy. Đó là một cuộc tập luyện trong sự an toàn của một phòng tập; bạn thà nhận một cú đấm trong thực hành hơn là trong một trận chiến thực sự.

Lý Do Để Chấp Nhận Sự Kỳ Quái

Fuzzing, hỗn loạn, bất biến—tất cả những điều này không phải là để thể hiện học thuật. Nó là về khả năng phục hồi. Google, Netflix và AWS không làm điều này vì vui (chà, có thể một chút); họ làm điều này vì các hệ thống rất rối rắm, đám mây không đáng tin cậy, và người dùng chỉ nhớ những khi mọi thứ bị hỏng.

Vì vậy, đúng là, kiểm thử nâng cao nghe có vẻ điên rồ—cho đến khi bạn nhận ra điều điên rồ nhất là không thực hiện nó.

Các Thực Hành Tốt Nhất

  • Thực hiện kiểm thử nâng cao thường xuyên: Đừng chờ cho đến khi gần đến thời hạn để bắt đầu kiểm thử.
  • Tích hợp fuzzing vào quy trình phát triển: Sử dụng các công cụ fuzzing như OSS-Fuzz trong quy trình CI/CD của bạn.
  • Khuyến khích văn hóa kiểm thử trong nhóm: Đảm bảo mọi thành viên trong nhóm đều hiểu tầm quan trọng của kiểm thử.

Những Cạm Bẫy Thường Gặp

  • Bỏ qua kiểm thử khi bận rộn: Đây là một sai lầm lớn. Kiểm thử cần được ưu tiên ngay cả trong thời gian gấp rút.
  • Tin tưởng quá mức vào kiểm thử đơn vị: Kiểm thử đơn vị không thể phát hiện tất cả các lỗi, đặc biệt là những lỗi liên quan đến tích hợp.

Mẹo Tối Ưu Hiệu Suất

  • Sử dụng công cụ kiểm thử tự động: Giúp tiết kiệm thời gian và phát hiện lỗi nhanh chóng.
  • Phân tích các kết quả kiểm thử kỹ lưỡng: Đừng chỉ nhìn vào các báo cáo, hãy tìm hiểu nguyên nhân gốc rễ của lỗi.

Giải Quyết Vấn Đề

  • Lỗi không tái hiện: Sử dụng các công cụ ghi lại trạng thái hệ thống để phân tích nguyên nhân khi lỗi xảy ra.
  • Lỗi trong môi trường sản xuất: Có kế hoạch dự phòng để khôi phục nhanh chóng và phân tích sự cố sau khi xảy ra.

Câu Hỏi Thường Gặp

  • Fuzz testing là gì?
    Fuzz testing là phương pháp kiểm thử bằng cách cung cấp đầu vào ngẫu nhiên hoặc không hợp lệ cho phần mềm để phát hiện lỗi.
  • Kỹ thuật kỹ sư hỗn loạn là gì?
    Đây là phương pháp kiểm tra khả năng phục hồi của hệ thống bằng cách tạo ra sự cố một cách có kiểm soát.

Kết Luận

Kiểm thử nâng cao không chỉ là một xu hướng; nó là một phần thiết yếu của quy trình phát triển phần mềm mà mọi lập trình viên cần nghiêm túc xem xét. Hãy bắt đầu thực hiện các phương pháp này ngay hôm nay để đảm bảo hệ thống của bạn luôn sẵn sàng đối mặt với mọi thách thức.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào