华润万家IT产品研发质量与安全管理系统项目应用需求

1. 整体介绍

该项目建设的核心内容如下：

➢ 建立安全漏洞挖掘机制，利用黑盒模糊测试技术，模拟真实信息安全攻击发现漏洞并自动输出安全漏洞检测报告和改进方案；

➢ 建立IT系统源代码安全审计机制，利用扫描工具检测内外部交付的系统代码是否付给安全编码规范，并自动输出安全审计报告； ➢ 具备日常巡检和监控告警功能；

➢ 测试流程标准制定，质量指标制定，对接缺陷管理系统； ➢ 建立自动化基线用例库和公共关键字库；

➢ 适配多平台（ios,安卓），多应用（app,小程序，H5，web应用），多系统（各种后台系统）；

➢ 具备接口自动化，UI自动化，性能脚本维护，性能历史数据记录，稳定性测试，兼容性测试等综合测试能力； ➢ 运行高效可持续集成。

2. 实施范围 2.1. 组织范围

华润万家信息管理部 2.2. 系统范围

系统未来覆盖扫码购小程序，O2O APP ,ole APP,万家门户（pc门户，移动门户），移动店务，微信管理平台系统（各业态公众号）、数字中台系统（O2O业务模块）,SEMS,RMS,ORS,CPS, FMS,EGMS,SRD,FRS,NCMS,EMS,移动oa,移动市调，移动HRMS,移动报表，移动pos，DXS2.0，UPP,UPM等。本期项目重点覆盖线上转型升级项目的零售中台系统中O2O业务模块，后续以此为基础初步推广到公司其他系统。 2.2.1. 系统功能要求

功能模块 源代码序号 1 功能维度 全局功能 业务场景 违例代码定定义举例 程序员在完成编码后，上传代码到远程代码仓库前使用安全检测 位及修复 本地安全扫描客户端进行实时源代码安全扫描，使用扫描后的问题定位指引进行安全违例行定位，依据安全违例修复建议进行本地代码修复 安全违例邮件通知，违例2 全局功能 定位及修复建议、代码安全合规性报告 通过连接缺陷管理系统进行安全违例的导入，并进行后3 全局功能 安全违例跟续的跟踪，实时掌握安全违例修复状态，开发团队及测程序员上传代码到远程代码仓库后定期执行代码安全扫描，发现违例后通过邮件实时通知，程序员下载违例报告进行违例程序行定位，依据违例修复建议进行违例修复 踪，安全审计 试团队依据安全评估报告及违例修复状态定期进行安全审计，并验收相关的功能模块 定期自动化定期自动化执行程序应用及系统的通讯协议、接口、文件格式等方面的安全模糊检测，自动化生成漏洞报告 程序员执行漏洞重现脚本，进行漏洞重现并定位漏洞程序模块进行修复 通过连接缺陷管理系统进行安全漏洞的导入，并进行后1 全局功能 执行漏洞挖掘 安全模糊测试 2 全局功能 漏洞重现 3 全局功能 漏洞跟踪，安全审计 续的跟踪，实时掌握漏洞修复状态，开发团队及测试团队依据漏洞评估报告定期进行安全审计，并验收相关程序功能模块 手工测试用1 全局功能 测试用例基于项目和版本进行管理和维护，不同角色具例增删改查，有不同权限，如新建测试用例，编辑测试用例，删除测上传下载 自动化测试试用例 接口自动化测试用例、UI自动化测试用例，性能测试脚本，稳定性测试脚本，兼容性测试用例编写和维护 测试用例管理 2 全局功能 用例、脚本编写维护 3 全局功能 关键字编写维护 基线用例库 环境管理 设备管理 配置管理 公共基础场景aw编写维护 每个版本测试用例从基线测试用例库引入，基于基线用例 关联要执行测试的环境，系统 真机设备、模拟设备进行管理 配置文件，数据库配置 4 1. 2 3 全局功能 全局功能 全局功能 全局功能 自动化测试 4 全局功能 任务管理 创建分配测试任务，任务中关联要执行的测试用例，关联配置文件，关联测试设备，测试环境 管理接口测试，性能测试，稳定性测试，UI自动化测试脚本 创建不同的执行机制，如定时执行，手动执行，持续集成 测试数据统一管理和维护 维护制定流程标准 自动部署自动化工程 执行任务前进行相关环境和设备的检查 接到任务后调度相关资源进行工程执行 多节点运行时将用例分配到空闲的客户端 保留执行过程中日志，截图方便问题最终定位 将执行结果上传到质量看板、同步到缺陷管理系统 根据不同的执行结果通过邮件或者及时通讯工具发送不同的报告给相关人员 直观展示版本各项质量，进度信息 5 全局功能 工程管理 执行策略管理 测试数据管理 流程标准化 自动化工程部署 环境检查 任务执行 用例分发 日志截图搜集 结果上报 通知消息 结果列表化展示 结果图表化展示 对接权限管理系统 持续集成 6 全局功能 7 8 1 2 3 调度执行 4 5 6 7 全局功能 全局功能 全局功能 全局功能 全局功能 全局功能 全局功能 全局功能 对接功能 1 质量看板 全局功能 2 全局功能 生成图形报告，直观查看版本整体质量 3 对接功能 对接缺陷管理系统，同步结果自动生成缺陷 根据不同的执行策略自动触发自动化任务生成测试报告同步测试报告到质量看板 定时执行巡检任务，如服务器内存，CPU等，发现异常及时通知 监控UI操作，发现关键错误及时通知 1 全局功能 持续集成、巡检监控 2 全局功能 巡检 核心功能UI监控 核心功能监控 3 全局功能 4 全局功能 接口错误数到达阀值发出告警 2.2.2. IT技术要求

•

支持开源的自动化测试类库/工具调用及定制化开发，包括：Selenium、Appium、JMeter等； •

支持多平台软件自动化测试，平台包括：Windows、 Linux、Web浏览器、移动端等； • •

支持手工及自动化测试用例可通过Testlink测试管理系统进行统一管理及编辑； 支持关键字驱动及数据驱动，方便无编码经验的业务人员或测试人员实现自动化测试用例； • • • • • •

2.2.3. 工作说明书

项目阶段 分类 项目管理 项目管理 项目管理 项目管理 方案 方案 项目过程管理 方案 方案 方案 方案 方案 方案 方案 方案 项目工作 项目执行管理 项目规划 项目进度监控 风险管理 架构设计 应用架构设计 集成架构设计 交付与部署策略 测试策略定义 系统切换策略定义 开发清单整理 开发清单 系统功能新增 功能设计 实施商职责划分 参与 主责 参与 主责 参与 主责 主责 主责 主责 支持Python技术，方便扩展支持万家不同应用测试平台的测试操作关键字库； 支持Jenkins持续集成，方便质量与安全自动化测试任务集中管理及调用； 支持缺陷统一汇总，可与万家现有缺陷管理系统对接；

支持多种开发语言的源代码安全检测，提供本地及远程的分布式源代码安全扫描； 支持模糊安全测试，提供对万家应用或系统的自动化漏洞及缺陷挖掘测试； 支持分布式的私有云部署。

集成 集成 架构 架构 设计 业务蓝图设计 设计 设计 系统修改 集成 系统开发 上线 上线 上线 测试 测试 测试 测试 测试 测试 测试 部署 上线 上线 运维 运维 接口设计 集成技术设计 架构搭建 基础架构搭建 需求调研分析 设计解决方案 确定关键业务流程 系统开发 集成开发 切换方案设计 切换计划 系统切换详细步骤 测试准备及执行 系统单元测试 系统集成测试 用户接受测试 性能测试 模拟切换 系统切换 按业务数据流分批切换实施 系统运维 切换后问题处理 参与 主责 主责 主责 主责 主责 参与 主责 主责 主责 参与 主责 主责 主责 主责 运维

2.2.4. 项目计划

项目预计周期12个月； 立项 2018年8月

商务招采 2018年10月 启动实施 2018年11月 上线 验收 收尾 2019年4月 2019年1月 2019年3月 3. 实施要求

3.1. 验收和交付成果要求

实施商需要根据本附件定义的范围为基础，并参考实施方法论，列出项目生命周期不同阶段提交的阶段成果物和各类交付物清单。另外，实施商需要对交付成果给出验收标准和验收流程建议：

➢ 2018年11月中，完成需求分析，输出实施详细方案与流程设计方案； ➢ 2018年12月底，完成产品实施、二次开发和测试验证； ➢ 2019年12月底，完成试点上线；

➢ 2019年1月底，完成正式上线，输出上线总结报告、系统运维说明书；

➢ 2019年3月底，完成项目验收，输出签字的验收报告、培训手册、用户手册、运维手册。

3.2. 售后服务要求

范围 • 关键字库错误修正 功能支持 • 测试执行故障处理 • 平台运行性能优化 • 安全测试工具升级 运维支持 • 软件自动化测试平台维护 • 承诺服务水平 • 产品操作使用说明书交付 知识交接 • 自动化测试用例开发手册 • 知识交接交付文档沟通 说明 3.3. 实施团队要求

实施商需绘制组织框架图，并提供实施团队主要人员名单（至少包含项目经理、高

级自动化测试开发工程师、初级自动化测试开发工程师）以及相关实施简历、社保证明，要求项目经理与核心成员到万家现场面试。如若中标，面试通过的项目经理与核心成员必须全程参与项目实施。同时，应标书中提交的成员必须参与项目的实施，如果需要更换，需要与万家进行协商。

核心成员 项目经理 高级自动化测试开发工程师 初级自动化测试开发工程师 高级软件安全开发工程师 要求 5年及以上的项目管理及实施经验 5年及以上的软件自动化测试项目开发经验，熟练掌握Selenium和Appium工具使用 2年及以上软件测试经验，熟悉自动化测试用例编写，包括 Web及移动端等平台 3年及以上软件安全测试经验，精通源代码安全审计及模糊安全测试 4. 其他要求

4.1. 全国推广要求具体以全国推广实施方案为准 4.2. 知识转移要求

在项目阶段针对万家的项目人员进行知识转移和培训工作，并确保质量，使华润万家人员具备参与本项目的基本技能和实施后的独立运维能力。 4.3. 各阶段交付物要求

各阶段交付物质量需要符合华润万家的要求，内容清晰、完整，对日后的运维具备指导和参考价值。 4.4. 高阶技术要求

• • • •

构建完整、可扩展的成熟数据架构体系； 模型主要遵照第三范式进行设计，支持渐变维； 优化模型设计保障数据高效访问性能；

预警：对于平台中的关键监控指标进行阙值异常监控，当数据超过阙值范围时进行预警。提供当异常情况产生时，主动发送邮件等进行预警； •

实现分级别、分角色、分菜单的权限管理能力。