测试专项 - 资损防控

关于"资损防控"的主要是来自《阿里测试之道》和支付系统的测试工作，现在部门也花了较大精力开展资损防控专项，主要思路也是基于阿里的延续和补充。本章节分为两部分：1）梳理《阿里测试之道》关于资损防控的思路 2）结合工作实践的一些想法

《阿里测试之道》资损防控

1. 资损风险防控体系

资损指由于产品设计缺陷、产品实现异常、员工操作错误导到致的公司或公司客户蒙受
的直接或间接的资金损失。

资损防控包括防和控两项工作，资损风险防控体系如下：

image-20240922104701659

1.1 如何防？

根据资损来源,我们从产品设计、系统实现、流程变更三个阶段进行分类预防：

• 产品设计阶段：需提前明确资金流及异常分支等，从根本上规避风险。
• 系统实现阶段：需细化资损风险点分析、代码内嵌防控措施，从业务的载体上
  做风险拦截。
• 流程变更阶段：需基于变更流程多个角色的完整验收，从业务的产出上做风险
  兜底。

对应的措施：

• 分层功能测试
• 基于资金的特性做分布式一致性测试、并发测试、幂等测试、兼容性测试...
• 线下至线上的多环境的测试回归
• 变更管控三板斧：监控策略、灰度策略、回滚策略

1.2 如何控？

• 异常日志，业务大盘
• 业务数据流视角：证证、证账、账账、账实对账
• 核对能力视角：一致性核对、业务正确性核对、会计日切兜底核对

2. 资损风险防范

这一部分着重介绍线下测试阶段如何防范，【测试要点】个人认为是最核心的部分，它既是 QA 的本职工作，也是后续一些专项的梳理工作的基础。

资损风险防范

3. 资损风险识别

风险识别主要是针对预发布/线上阶段，目的是更快速、精准的发现资金风险

资损风险识别

4. 资损防控文化

• 红蓝攻防
• 常态化演练

一些想法

• 将资损防控成立为专项 主要是从资金风险的视角评估。其实它属于服务端测试的一个分支，测试流程以及需要掌握的测试技术并没有十分明显的差别。
• 防和控的策略和优先级，会受到测试人员能力、质量现状、项目特点等多方面的影响，需要灵活把控
• 线下阶段测试是最重要的环节，值得长期改进（技术提升、模板化、工具化、风险地图）
• 风险识别的数据核对规则也要测试，避免出现监控失效的情况