《毛皓-API生命周期管理与质量保障.pdf》由会员分享,可在线阅读,更多相关《毛皓-API生命周期管理与质量保障.pdf(25页珍藏版)》请在三个皮匠报告上搜索。
1、API生命周期管理与质量保障主讲人:毛皓演讲嘉宾介绍毛皓平安科技质量专家 平安科技研发管理部质量平台组 高级经理 平安科技质量技术分会 委员 在过去13年时间里,一直从事测试工具、测试流程规范、测试专家服务相关工作 好读书,所学甚杂测试管理、自动化测试平台、UI自动化测试、接口测试、精准测试、性能测试 长期为平安集团下各子公司质量保障发展出谋划策CONTENT目录2023K+01API管理的现状与困境API全生命周期管理流程和机制API全生命周期管理质量保障与治理0203未来思路与畅享042023K+API管理的现状与困境Part 01API管理的现状与困境1、系统规模不断扩大,系统的API接
2、口数量不停增长,调用关系愈发复杂,API接口越来越重要2、传统的接口管理方式存在文档更新滞后、不易分享、接口资源难以复用的问题3、公司内接口管理和测试缺乏统一的管理平台,难以统计度量4、接口测试实现方式和结果报告多种多样,无法形成统一产出,测试框架也存在学习成本5、接口管理,测试,模拟,网关服务,生产监控,乃至接口管理与测试整体与研发流程存在割裂,存在不互通,难整合的问题什么是API接口?凡是请求,皆是接口凡是请求,皆是接口2023K+API全生命周期管理流程和机制Part 02API定义API开发API测试/编排API发布API线上监控API治理API全生命周期API文档库API分类分级可视
3、化编辑异步执行引擎顺序/循环/条件执行并行/串行执行参数传递执行监控导入导出/分享标签分类检索搜索文档授权API发布管理订阅管理服务授权服务移交上下游关系图动态链路监控服务质量监控慢sql分析资源监控慢请求分析调用范围分析高频/长期未调用分析API网关服务降级智能路由限流插件SSL证书管理认证鉴权白名单管理在线调试函数组件流程调试注解生成接口文档源码变更分析统一接口定义规范统一标签和分类分级管理业务中台API技术中台API数据中台API内部应用API外部应用API统一权限和消息通知统一的注册发布移交规范与流程API代码自动生成API升级与下线管理统一文档库管理全集团所有API统一分类分级管理统
4、一工作台展示查询已分享的所有APIcode与api结合静态链路变更分析根据接口定义,支持用户生成接口代码样例和模板支持源码生成接口定义提供可视化丰富的API编排和测试能力支持函数组件能力提供API图形化编排能力,可编排已发布API形成新的API能力发布移交要求API文档完整、API有分类定义、发布接口前必须测试达标接口的使用必须经过服务方审核且必须包含有效期提供统一的认证鉴权、限流熔断能力,保护后端服务屏蔽调用差异,提供统一的路由和负载能力通过打标和API的抽样检测,对涉敏接口进行精准管控监控服务质量和与之匹配的资源消耗情况根据服务质量配置链路监控采样,基于API订阅方和服务提供方下钻到服务内
5、部的全链路分析针对涉敏接口提供定制化的监控能力定期审核接口调用情况,及时清理非必要的权限接口授权需满足最小分配原则不再使用的接口及时下线清理并删除上下游关系API全生命周期管理流程和机制API定义API开发API测试/编排API发布API线上监控API治理API网关API统一工作台管理态1、统一管理态:API文档、API测试、API治理统一管理和数据展示2、运行态:由网关管理授权审批、认证、鉴权,流控3、统一治理:链路追踪数据、服务流量规模数据,慢请求/调用范围/长期未调用分析治理,API版本管理,应用拓扑关系(规划中),接口拓扑关系(规划中)5、统一流程:全生命周期接口服务闭环管理,服务移交
6、门禁控制,覆盖接口从文档定义接口测试接口发布(开发/测试/生产)生产上线后调用效果的全流程,实现可视化管理追踪、反馈预警以及治理。API生产上线dev发布stg发布prd发布运行态1010“纵向价值漏斗”“横向不同管理要求”接口治理链路分析接口定义接口测试熔断限流版本管理接口定义接口测试接口发布分类分级统一标签测试后上线上线后注册发布共享 API价值漏斗与横向管理线上监控认证鉴权分类分级与标签注册发布API全生命周期管理优势亮点Part 03API全生命周期质量保障与治理 API质量devops API的安全测试 API的性能测试 API的质量治理API全生命周期管理质量保障与治理接口管理发版
7、系统3400+接口总数案例总数31w个2022年共执行3000万次接口测试34w个案例运行发版系统3000+发版系统4400+提前发现严重缺陷发版系统平均32.6%节约回归时间Devops下的API全生命周期管理质量保障02可自定义的质量门禁设置成功、失败条件通知自定义01多样化自动化测试触发方式并、串行调度执行部署即测试03冒烟测试自动化回归测试生产巡检编译测试单元测试静态扫描安全扫描部署STG质量门禁发布灰度环境生产环境冒烟测试代码提交定时触发事件触发人工触发自动化测试API测试体系化、持续反馈交付价值不同模式,各项目/团队可根据场景及成熟度选择,支持IT团队整体自动化转型与质量持续交付质
8、量保障工具体系流量回放服务其他测试类型精准测试分析服务VT2.0持续集成性能测试E敏捷测试工具ALM协作空间Bug缺陷分析反馈Mock服务DC数据中心API 接口测试自动化测试案例管理案例执行状态同步缺陷上报确认缺陷,代码修改详情测试遗漏分析上报用例失败分析上报智能数据生成管理敏感数据管理安全测试故障注入测试API监控API的安全测试接口定义的安全敏感字段管理API安全测试SQL注入跨站脚本攻击防重放攻击接口的越权接口的熔断限流接口出入参数据校验与加密接口健壮性,请求合法性,正确处理不合理的请求或者参数接口错误处理返回,堆栈信息泄露API的性能测试生产环境冒烟测试测试环境性能测试与生产环境表现
9、对比API的质量治理API质量生产高频接口是否有接口定义,是否测试,测试质量(接口代码覆盖率)生产高频接口是否性能测试慢请求比例长期未调用接口是否下线接口变动提前预警(code测试、关联方)API契约一致性敏感字段一致性接口服务范围一致性接口定义与实际服务一致性(请求类型、出参、入参等)用户接口录入Swagger导入源码扫描手工录入生成文档在线API定义离线文档接口管理接口测试案例编写可视化低门槛组装测试任务执行日志断言校验人工结果处理缺陷确认自动上报生产监控(WiseAPM)生产调用数据(高频、低频)生产际接口消费方数据生产接口应时长接口监控接口分析接口调用链路 全景图接口覆盖代码代码变更影
10、响自动结果处理缺陷记录缺陷分析接口模拟根据条件返回默认返回参数化模板测试报告测试报告定时执行/自动触发定时触发流水线触发低频接口最近一次调用生产高频接口接口消费方统计浏览器插件录入接口治理与预警代码变更影响接口预警精准测试防止分支漏测接口代码变更影响实际消费方预警3月、半年未调用接口预警下线高频接口是否有接口定义是否测试是否性能测试接口消费方治理慢请求分析测试环境性能测试结果比对性能测试评估关联消费方影响接口定义补充与预警契约一致性API质量治理GPT有了大模型,还要开发测试何用?老板:快使用GPT,拥抱新技术,什么都能解决只为吹牛?高级版的搜索引擎?费了半天劲,崩出来的不过是个屁降本增效?效果是真的么?欲罢不能,大模型在哪儿?搞不定实际业务问题啊未来在何方?未来在何方?GPT避免神话大模型,大模型不是解决一切的银弹想想曾经的自动化/敏捷工具只是人的延伸未来在何方?API定义API开发API测试/编排API发布API线上监控API治理API全生命周期需求即定义测试数据生成测试案例生成缺陷智能分析智能治理动态链路监控服务质量监控API网关服务升级降级熔断限流源码变更分析API代码自动生成思考你要做什么?目标是什么?你的大模型在哪儿?是否有特定领域的训练集、有效性?真实性?你的规则、数据是否已准备好你是否有评估检查反馈的环节?效果你的执行控制,风险范围是否衡量?THANKS