对于通用 API 的 BDD 场景有什么建议吗？

Question

我正在为我的应用程序的 API 部分组合受 BDD 启发的单元测试。 （是的，我知道，BDD 应该是关于领域并与西装交谈的，但我宁愿先在不太明显的东西上尝试 BDD）

• 普通用途。 开发人员使用这 具有普通参数值的 API 方法。

• 极端使用。 开发者调用API 具有异常大/小的参数。 例如，向 zip() 方法传递一个 2 GB 的文件。

• API 滥用。开发人员调用 带有疯狂参数的 API——太疯狂了 程序员会将日期传递给 整数参数，对吗？--参数是 忘记等。

• 恶意黑客攻击。 开发商 不关心 API 的用途，而是寻找执行任意代码的方法。 测试包括 JavaScript、SQL 只是为了看看我们能否让他们 在任何地方执行。

我还应该考虑其他场景吗？

Answer 1

当然，总是有更多的场景需要考虑。 坦率地说，场景实际上是无限的。 这是一个极其开放性的问题。

关于恶意黑客攻击场景，您实际上应该只关注明显的缓冲区溢出点，然后坚持测试已确认的安全漏洞，这样您就不会意外地重新打开它们。 每当您确实发现漏洞时，请寻找代码中使用类似编程技术和模式的每个位置，并抢先测试/修复这些漏洞。 然而，在很多情况下，模糊测试会给你带来更好的结果。 自动化测试是处理安全问题的重要组成部分，但它绝不应该成为工具箱中的主要工具。

其他需要考虑的事情可能是特定于数据的。 例如，在解析日期时，请务必处理 2/29/2009 或 9/31/2009 等内容。 如果可以的话，尝试处理 1/1/1900 和 12/31/2038（您的图书馆可能不允许）。

您可以做的一件事是检查您正在进行的所有库调用的文档，找出在哪些条件下抛出什么异常，并故意尝试查找将触发这些异常的输入，然后确保您进行了测试验证这些异常是否已处理，或者在库代码的情况下是否已记录。

代码覆盖工具和代码突变还可以帮助您识别以前未覆盖的场景。