禅道

安全 所有入参均经过校验，包括验证参数数据类型、范围、长度，尽可能采用 白名单 形式验证所有的输入。对于非法请求，记录WARN log。参考 Input Validation Cheat Sheet ；前后端统一校验标准，最好统一自动生成代码。 避免拼接客户端可控参数到SQL语句，采用预编译形式执行SQL，尽可能使用#{}，特殊场景需使用${}时必须对参数做严格校验，比如限制类型、长度等。 对于服务端内部异常，统一返回Error Code和Error Message，避免返回Stacktrace等内部系统细节，参考 统一异常处理&错误码规范使用说明 。 所有接口读写敏感数据前必须增加 session 鉴权，校验数据归属为当前登录账户。 敏感信息不要硬编码到代码中（比如密码等）。 非公开页面或资源，必须要求服务端身份验证。 符合Least Privilege原则，具备逻辑严密的权限配置。 重要数据变动皆有审计日志，日志中不要保存敏感信息（系统详细信息、会话session或密码等）。 所有上传文件类型必须要做白名单检查，且统一存储到OSS。 禁止在代码中留任何形式的后门 兼容性 所有的模块外部接口不存在兼容性问题； 如果有DB Migration，说明需在发布前或发布后执行，兼容平滑发布； 所有的DB Schema变动均已考虑对统计的影响； 数据的含义或处理逻辑有变更时，考虑对存量

安全 所有入参均经过校验，包括验证参数数据类型、范围、长度，尽可能采用 白名单 形式验证所有的输入。对于非法请求，记录WARN log。参考 Input Validation Cheat Sheet ；前后端统一校验标准，最好统一自动生成代码。 避免拼接客户端可控参数到SQL语句，采用预编译形式执行SQL，尽可能使用#{}，特殊场景需使用${}时必须对参数做严格校验，比如限制类型、长度等。 对于服务端内部异常，统一返回Error Code和Error Message，避免返回Stacktrace等内部系统细节，参考 统一异常处理&错误码规范使用说明 。 所有接口读写敏感数据前必须增加 session 鉴权，校验数据归属为当前登录账户。 敏感信息不要硬编码到代码中（比如密码等）。 非公开页面或资源，必须要求服务端身份验证。 符合Least Privilege原则，具备逻辑严密的权限配置。 重要数据变动皆有审计日志，日志中不要保存敏感信息（系统详细信息、会话session或密码等）。 所有上传文件类型必须要做白名单检查，且统一存储到OSS。 禁止在代码中留任何形式的后门 兼容性 所有的模块外部接口不存在兼容性问题； 如果有DB Migration，说明需在发布前或发布后执行，兼容平滑发布； 所有的DB Schema变动均已考虑对统计的影响； 数据的含义或处理逻辑有变更时，考虑对存量

Postman是一款功能强大的网页调试与发送网页HTTP请求的Chrome插件。 它提供功能强大的 Web API & HTTP 请求调试。 它能够发送任何类型的HTTP 请求 (GET,HEAD, POST, PUT..)， 附带任何数量的参数+ headers。 Postman功能： 　　主要用于模拟网络请求包 　　快速创建请求 　　回放、管理请求 　　快速设置网络代理 目录 get请求 post请求 get和post的区别 header请求头 查看响应结果 断言Tests 管理请求 模块管理folder 环境变量 导入导出应用 get请求 页面访问请求（get方法），将接口地址填入地址框中，点击Params，设置参数值，点击send，如下图所示： post请求 页面访问请求（post方法），将接口地址填入地址框中，点击Body后， 选择x-www-form-urlencoded，设置参数值，点击send，如下图所示： form-data、x-www-form-urlencoded、raw、binary的区别 1. form-data 　　就是http请求中的multipart/form-data,它会将表单的数据处理为一条消息，以标签为单元，用分隔符分开。既可以上传键值对，也可以上传文件。当上传的字段是文件时，会有Content-Type来说明文件类型；content

需要将一台windows机子上的禅道迁移到另外一台windows主机，两台机子禅道版本一致，操作的步骤如下： 1、进入迁出禅道的程序目录：..\xampp\zentao\config，打开my.php文件可查看禅道的数据配置信息 数据库信息截图如下： 2、打开navicat根据mysql配置信息登入数据库，导出表结构和数据内容为文件 3、在迁入的主机上提取禅道文件，提取后的目录结构如下： 4、进入目录..\xampp\zentao\config，打开my.php文件获得数据库信息。 5、双击‘启动禅道.exe’,点击‘访问禅道’，在页面中点击‘数据库管理’进入管理界面 数据库管理界面 6、点击‘数据库’进入管理页，新增一个空数据库，名称自己取 7、在左侧树选择刚创建的空库，然后点击SQL页，将迁出的脚本命令拷贝出来粘贴进编辑区，然后点击‘执行’按钮 8、执行完毕后可刷新左侧树下钻查看已建立的表和表数据内容 9、进入目录..\xampp\zentao\config，打开my.php文件修改数据库名为当前新建的库 10、重新启动禅道 11、访问禅道地址，呈现的就是迁移后的数据内容 12、迁移图片文件：暂停禅道，将原机子目录D:\xampp\zentao\www\data\upload\1下所有文件拷贝到迁入机子的相同目录下，启动禅道。 至此迁移完毕。 说明

随着 现代信息技术的发展，企业之间的合作模式呈现多样化和深度化，外部合作和内部协作需求越来越多，也越来越紧密，很多 企业 开始面临 多项目 、 项目群的组合 管理，更关注对项目的选择和整合，以实现企业战略目标下项目投资收益最大化。在此背景下， 传统的单项目管理方法和模式 显然难以 满足企业 对 项目管理的 更高要求，而 涉及到战略 落地 、 财务预算、 收益 分析 的项目组合管理 方法则 备受推崇。 学会组合管理有助于养成 “大局观”，让企业的项目能够从企业的大方针出发 ， 在 项目 组合规划 时考虑 企业的资源和成本，选择最符合企业利益的项目 。项目 组合管理模式下，管理层与业务部门的关系更加密切，管理层能够全面 地 监控 公司所有 项目的情况， 根据项目的实时状态及时作出决策， 提高管理效率。 一、 单项目管理、项目群管理、项目组合管理傻傻分不清 根据项目管理的复杂程度，企业的项目管理一般分为三个层级：单项目管理、 项目群管理、 项目组合管理。 单项目管理是涉及到某个项目全生命周期的管理， 关注 项目 从 启动到收尾 的全过程管理，管理考虑的是短期的、战术层面的内容 ； 项目群管理是由多个单项目组成的，将业务或技术有关联的项目在同一阶段进行组织建设，统一管理制度和资源，管理考虑长期性、战略性层面； 项目组合管理是 由多个项目或者项目群构成，考虑项目与项目之间的联系

一、基本任务 （1）计划说明。内容包括： a. 说明本组选择的对比测试产品A和B； 百词斩和扇贝单词； b. 预估项目完成时间，完成测试进度表（项目完成后，需再次记录实际测试工作所花费的时间）； （2）需求说明。内容包括： a. 给出产品A和B的功能模块划分图； 百词斩和扇贝： b. 说明本人负责的功能模块； 我负责的模块是：复习模块 （3）测试说明。 内容包括： a. 说明测试用例的设计思路，至少结合课堂讨论的边界值、等价类、场景测试方法设计测试用例，必要时建议给出关键业务流程图，或场景图； 设计思路：给出预置条件，执行指定的操作步骤，获得预期的结果，利用这个思路来测试模块里面的功能是否满足需求。在禅道的测试用例编写界面如下： b. 提供能证明功能测试执行的部分操作和运行界面截图； 操作： 打开百词斩app->点击“复习”->->点击“英文选义” 预期结果：出现单词，以及释义提供选择。 继续点击“提示”->显示详情；继续点击“斩”->切换下一个单词； 实际测试截图： c. 说明本组使用的测试管理工具名称，说明版本号，给出下载链接地址； 测试管理工具：禅道 版本号：9.8.3 下载地址： http://dl.cnezsoft.com/zentao/9.8.3/ZenTaoPMS.9.8.3.win64.exe d. 给出测试管理工具使用的关键界面截图（如测试用例导出、缺陷导出等）；

一、前言：我为测试正名！ 我是一个野蛮的在IT行业做了十年的测试老鸟。平时不管是在生活中、工作中还是各种论坛、博客中看得最多的都是：测试门槛低，地位低，没有技术含量。就算目前：软件测试工程师可以拿很高的薪水待遇，很多人还是越不过去那种心理障碍。大家都认为软件测试工程师是为那些程序员打杂、收拾残局的！甚至包括目前很多正在从事软件测试行业的同行，你是否也有同样的想法？ ​ 这里我要为软件测试正名：软件测试工程师应该被尊重！ 这是我内心持续了很久的声音，这个声音憋了很久很久，今天在这里我要告诉所有的软件测试工程师（包括想入职测试行业的人），你们正在做的或选择的是一份 有意义的、有价值的、值得尊重的工作 。 如果你也有同感：请点赞、收藏并分享出去，让更多的人看到！让更多的人为测试正名！ 二、软件测试：行业归属和重要性 "测试行业"是从属于"IT行业"的 ，而随着信息产业的迅猛发展， 到目前为止IT行业已经赶超金融业，排名行业第一，成为中国最大的产业 ，并且还以每年20%的速度递增， 而"测试行业"作为IT公司内部必不可少的重要组成部分，它是推动软件质量提升的关键环节， 就好比：施工监理、药监、保监、反贪司法、质检等等部门，虽然做的是不同的事儿，但有异曲同工之目的，软件测试是保障软件质量的重要手段， 甚至它被誉为是软件质量把关的最后的一道生命防线。 ​ 试问：一辆没有经过测试的汽车

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 关于 禅道 使用经验分享 禅道使用经验分享，欢迎大家一起来探讨关于禅道项目管理软件使用方面的问题。我们广泛的收集对禅道的看法和建议，充分了解广大用户使用禅道的具体情况和要求，进而不断完善禅道的功能和服务。 本期禅道使用经验分享来自于 上海乘风企业管理咨询有限公司 的测试经理宁红举先生。该公司 主业务是物流企业管理的技术支持，以及物流行业所需的管理系统的软件研发等。 非常感谢他百忙之中接受禅道的采访，分享他和工作团队使用禅道的经验和心得。 分享嘉宾 宁红举 。测试经理。主要负责需求管理、流程监控、测试计划及测试任务安排、验收测试、发布系统及版本控制等工作。 禅道使用经验分享实录 禅道： 您公司的工作团队目前有多少人？是怎样分工的？ 宁红举： 公司现有15人。总经理1人，研发团队6人，测试团队3人，客服团队3人，人力资源1人，网络工程师1人。 禅道： 目前公司都在进行哪些项目？项目的周期一般是多长？ 宁红举： web新产品研发、云产品研发、RIA客户端项目、EDI数据对接等项目，项目周期1个月至2个月。 禅道： 您公司的项目开发目前使用什么语言和框架？ 宁红举： C#和.NET 4.0。 禅道： 您之前项目管理都用过什么工具软件？使用效果怎么样？ 宁红举： Redmine ，效果一般，很多功能无法满足实际需要。

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 1. 总体感受 又到年终，在2019年最后一天，回顾今年，仿佛是转眼之间的事。时间像是有加速度，过得越来越快。无法追赶时间，只能写下年终总结，记录今年的痕迹。今年总体来说过得比较平稳，在日常的生活和工作中，开始注重知识、技能的沉淀。有通过读书学习的输入，也有通过Blog作为知识的输出。对人生、工作、管理、技术有了更多的思考。 今年的关键词：平稳，沉淀，输出。 2. 成果与感悟 今年主要划分为三个阶段，年初根据项目需要，进行数据集成平台开发，统一公司的数据集成基础，同时基于使用的Spring Batch技术进行博客编写。年中转变工作模式，偏向管理与架构，通过制定部门技术管理规范，制定项目管理流程、理顺部门的产品开发流程，提高开发效率。年末主要是技术开发工作，实现基础组件，包括接口文档生成与对接方式，代码生成系统，数据库设计流程、微服务改造等。在日常通勤的路上，完成了大部分书籍的阅读。 2.1 成果 主要从两方面总结一下成果： 学习输入 阅读10本编程技术类书籍、15本科普类书籍、8本经管励志类书籍、17本人文类书籍。对此，我写了一篇 《2019读过的好书推荐》 进行总结。 对Spring Batch技术有了深入学习与了解 对Spring Boot及Spring Cloud有更深入的使用和理解。 对开发规范

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 背景 满足整个永辉彩食鲜大B业务从线上到供应链的全线业务系统的研发和维护,保证整个系统的稳定性和性能。 架构思考 大B业务不同于小B业务，它没有常见的业务高并发的场景，所以更多是对业务数据的一致性（业务数据基本都跟财务相关），系统的稳定性和常规故障自动恢复能力有更高期盼和要求。同时伴随业务的及数据增长，整体系统性能要保证的稳定。 总体架构图 架构演进历程 项目基础设施搭建 -> 运维自动化 ->数据库运维构建 -> 分布式基础设施搭建 -> 分布式监控体系构建 -> 分布式框架自研 -> 业务基础服务构建 -> 技术分享 -> 开源社区构建 (大致的推进重新历程如上,实际场景下不分严格先后顺序。) 项目基础设施的建设 涉及 gitlab, svn, jenkins , nesus, sonar, 禅道, 知识库；剥离出永辉自身的研发基础设施，减少频繁的沟通成本，获取系统的管理员权限便于打通研发和运维自动化。 运维自动化 1. 钉钉自动化报警/通知 涉及jenkins,gitlab,禅道,sonar,知识库等自动化集成。 2. jenkins 一键发布 涉及jenkins的一键滚动发布,自动回滚,异常自动重启,便于运维快速发布，避免手工发布的出错。 3. docker 容器集群化