L2-21可选的产品风险分类 – ISO 25010

在前文“L2-20测试计划”中提到，其过程主要涉及被测对象的产品风险（ISTQB术语定义：影响产品质量的风险）进行评估，并基于已识别的产品风险建立不同的测试方法，识别测试的关键区域，根据测试范围进行工作量估算，最终得到不同测试级别的测试计划。对于主要采用基于风险的测试策略而言，其中的产品风险在整个过程中占有很重要的地位。

为了更有效开展基于风险的测试策略，在组织层面或项目层面构建产品风险架构是必要的。常见的产品风险架构方式有：基于被测对象的需求，或业务构建产品风险架构；或基于适合的产品质量模型构建产品风险架构；或者两种方式相结合。本文简单介绍基于ISO 25010质量模型的产品风险层次分类，也即参考该模型提供的质量特性和子特性，识别不同的产品风险类型。下图是质量模型特性组成。

基于ISO 25010质量模型，针对被测对象的产品风险，可以从8个不同的维度进行识别：

一、功能性

指的是在指定条件下使用时, 产品或系统提供满足明确和隐含要求的功能的程度。

1、完备性：功能集对指定的任务和用户目标的覆盖程度。

2、正确性：产晶或系统提供具有所需精度的正确的结果的程度。

3、适合性：功能促使指定的任务和目标实现的程度。示例: 不含任何不必耍的步骤, 只提供用户必要的步骤就可以完成任务。

二、性能效率

性能与在指定条件下所使用的资源量有关。而资源可包括其他软件产品、系统的软件和硬件配置、以及原材料( 如打印纸和存储介质) 。

1、时间行为：产品或系统执行其功能时, 其响应时闸、处理时闸及吞吐率满足需求的程度。

2、资源利用性：产品或系统执行其功能时, 所使用资源数量和类型满足需求的程度。

3、容量：产品或系统参数的最大限量满足需求的程度。 参数可包括存储数据项数量、并发用户数、通信带宽、交易吞吐量和数据库规模。

三、兼容性

在共享相同的硬件或软件环境的条件下, 产品、系统或组件能够与其他产品、系统或组件交换信息，和/ 或执行其所需的功能的程度。

1、共存性：在与其他产品共享通用的环境和资源的条件下, 产晶能够有效执行其所需的功能并且不会对其他产品造成负面影响的程度。

2、互操作性：两个或多个系统、产品或组件能够交换信息并使用已交换的信息的程度。

四、易用性

在指定的使用周境中, 产品或系统在有效性、效率和满意度特性方面为了指定的目标可为指定用户使用的程度。

1、可辨识性：用户能够辨识产品或系统是否适合他们的要求的程度。可辨识性将取决于通过对产品或系统的初步印象和/ 或任何相关文档来辨识产晶或系统功解的能力。提供的信息可包括演示、教程、文档或网站的主页信息等。

2、易学性：在指定的使用周境中, 产品或系统在有效性、效率、抗风险和满意度特性方面为了学习使用该产品或系统这一指定的目标可为指定用户使用的程度。

3、易操作性：产品或系统具有易于操作和控制的属性的程度。

4、用户差错防御性：系统预防用户犯错的程度。

5、用户界面舒适性：用户界面提供令人愉悦和满意的交互的程度。

6、易访问性：在指定的使用周境中, 为了达到指定的目标, 产品或系统被具有最广泛的特征和能力的个体所使用的程度。

五、可靠性

系统、产品或组件在指定条件下、指定时闸内执行指定功能的程度。

1、成熟性：系统、产品或组件在正常运行时满足可靠性要求的程度。

2、可用性：系统、产品或组件在需要便用时能够进行操作和访问的程度。

3、容错性：尽管存在硬件或软件故障, 系统、产品或组件的运行符合预期的程度。

4、易恢复性：在发生中断或失效时, 产品或系统能够恢复直接受影响的数据并重建期望的系统状态的程度。

六、信息安全性

产品或系统保护信息和数据的程度, 以使用户、其他产品或系统具有与其授权类型和授权级别一致的数据访问度。

1、保密性：产品或系统确保数据只有在被授权时才能被访问的程度。

2、完整性：系统、产品或组件防止未授权访问、篡玫计算机程序或数据的程度。

3、抗抵赖性：活动或事件发生后可以被证实且不可被否认的程度。

4、可核查性：实体的活动可以被唯一地追溯到该实体的程度。

5、真实性：对象或资源的身份标识能够被证实符合其声明的程度。

七、维护性

产品或系统能够被预期的维护人员修改的有效性和效率的程度。

1、模块化：由多个独立组件组成的系统或计算机程序, 其中一个组件的变更对其他组件的影响最小的程度。

2、可重用性：资产能够被用于多个系统, 或其他资产建设的程度。

3、易分析性：可以评估预期变更( 变更产品或系统的一个或多个部分) 对产品或系统的影响、诊断产品的缺陷或失效原因、识别得修改部分的有效性和效率的程度。

4、易修改性：产品或系统可以被有效地、有效率地修改, 且不会引人缺陷或降低现有产品质量的程度。

5、易测试性：能够为系统、产品或组件建立测试准则, 并通过测试执行来确定测试准则是否被满足的有效性和效率的程度。

八、可移植性

系统、产品或组件能够从一种硬件、软件、或者其他运行( 或使用) 环境迁移到另一种环境的有效性和效率的程度。

1、适应性：产品或系统能够有效地、有效率地适应不同的或演变的硬件、软件，或其他运行（或使用）环境的程度。

2、易安装性：在指定环境中，产品或系统能够成功地安装和/或卸载的有效性和效率的程度。

3、易替换性：在系统的环境中，产品能够替换另一个相同用途的指定软件产品的程度。

针对上述每个质量特性，都会有依从性的要求，即产品或系统遵循与该质量特性相关的标准、约定或法规以及类似规定的程度。

产品风险分类除了基于质量特性，也可以根据被测对象的领域和业务知识等进行分类，或者将两者结合。产品风险分类是开展基于风险的测试的基础，同时需要在测试过程中不断进行迭代优化和更新。

来源：郑文强