我对基于Flex的UI进行自动化测试感兴趣。我发现UI自动化的最佳选择(由于C#可控,良好的许可条件等)似乎都要求我将测试钩子编译到我的应用程序中。因此,我正在考虑建议将这些钩子编译到我们的构建中。
我发现网上有一些地方建议不要在启用此工具的情况下部署位,我想知道原因。是性能消耗还是安全风险?如果存在安全风险,您能否解释攻击面如何增加?
我不是Flash或Flex开发人员,但我有一些威胁建模经验。
供参考,这是我特别考虑的工具:
我在找到昨晚发现的所有警告/建议时遇到了问题,但这是我可以找到的一个例子:
http://www.riatest.com/products/getting-started.html
警告!启用自动化的应用程序公开所有GUI组件的所有属性这使他们容易受到恶意使用。 永远不要公开自动化应用程序。始终限制对此类应用程序和RIATest Loader的访问权限仅限于受信任的用户。
相关问题(如何进行条件编译以插入/删除这些挂钩):Conditionally including Flex libraries (SWCs) in mxmlc/compc ant tasks
答案 0 :(得分:2)
好吧,我现在无法想到所有用例,但想象一下您使用Flex开发了一款游戏,并且部署了包含自动化库的SWF。 有些人可以使用QTP,RIATest等自动化工具来模拟手动无法进行的用户交互(即点击鼠标左键每秒1500次)
我们为Flex应用程序提供了许多构建配置文件。其中一个包括自动化库,仅供我们的QA团队使用。
答案 1 :(得分:0)
以下是Flex SDK的documentation for conditional compilation个钩子。
答案 2 :(得分:0)
每秒点击1500次与Flex无关,我们也可以使用自动化工具在基于非Flex的应用程序上执行相同操作。
我找不到基于Flex和非基于Flex的应用程序的安全问题或其他问题的任何信息。
您能提供更多详情吗?