Блог на Калин Василев

Последно време интернет пространството се бълва от глупостите на една софтуерна компания, която е спечелила поръчката за създаване на сайта на детските градини в София. Става въпрос за прословутата Сирма груп.
Според официалното обръщение на фирмата, проблема със сайта е причинен от хакерски атаки. Между 9:00 ч. и 12:00 към сайта имало множество нерегламентирани заявки – около 90% от общо направените.
Всеки един от Вас е слушал за обяснението на Сирма за проблема…ето го и моето виждане, като човек занимаващ се с осигуряване на качеството на софтуерните разработки.

Първо да цитирам два абзаца от самото задание, с което е зададен проекта за изпълнение от Община София.

“Индустриални стандарти. При проектирането и изграждането на приложението да се използват и поддържат индустриалните стандарти и най-добрите практики, както и Интернет стандартите HTML, XML, HTTP, JDBC, SQLJ, JAVA(TM), Web Server Definition Language (WSDL), Universal Discovery Description and Integration (UDDI), и Simple Object Access Protocol (SOAP), BPEL, SOA”

“Тест процедури
Системата да мине през следните етапи на тестването:
- Прецизиране на Плана за тестване и Test case
- Тест за отделните елементи
- Тест на модулите
- Интеграционни тестове
- Тест за предварително приемане
- Тестване на пилотната система
- Тестване на системата
- Тестване при приемане на системата”

Да обърнем внимание на първия цитат, в който се упоменава на кои технологии да се наблегне при създаването на системата. Изискването по моето скромно знание е да се използват JAVA технологии.
Системата изработена от Сирма е чисто PHP, написано чрез помощта на Zend studio технология. Така показваше инфото на сървъра, което беше налично за преглед в деня на пускане на сървъра.
Малко да поразсъжваме…PHP е идеален език за програмиране на уеб сайтове и леки по натовареност портали. Сравнение между JAVA и PHP от гледна точка на сигурност не може и да става дума. Джавата е доста пъти по-сигурна и приложенията писани на нея издържат на голямо натоварване.
Тук е редно да си зададем само един въпрос: Защо след като от Възложителят е имало изискване да се използва JAVA технология за направата на системата от Сирма са предпочели PHP ?

Вярно става по-бързо, но и по-несигурно при натоварване. Аз не съм програмист, поне вече не :) , че да давам повече коментари за това. Има хора, които са по-кадърни и ще го направят.
Относно втория цитат за процесите на тестване. Няколко пъти представители от Сирма в телевизионен ефир споменават, че са провели тестове за натоварване (Load testing) на системата. Къде това е описано в документацията ? Къде става дума за тестове на натоварване?
Аз не виждам такова нещо. Това е недопустимо, една система да не мине през Load и Stress тестове, за да се изследва нейното състояние при екстремални условия. Разбира се, Сирма са извършили тези тестове…но на приказки. Никъде в документацията не присъстват тези род тестове…колкото и да я четох не можах да ги намеря. Задължително е било да проведат и performance тестове на сървъра, за да се определи при какво натоварване той ще гръмне.
Но не…от Сирма всички отдават на хакерски атаки. Много ви се моля…ние може да ядем зелена салата, ама не пасем трева! Това, че за Вас се поява идеалния вариант да се измъкнете от ситуацията като обвините, т.н. ХАКЕРИ. Искате да кажете, че всеки един гражданин на страната е хакер!
Още един ваш пропуск е липсата на добавена функционалност за уникалност на потребителите. След като очаквате такъв голям брой регистрации, защо беше нужно да позволявате повече от една регистрация на ЕГН. Това щеше да ви реши много проблеми и ненужна обработка на информацията.
Трябваше да предвидите такъв наплив и голям брой заявки, отправени към системата, защото за този сайт се говори от една седмица…очакваше се голям брой посещения. Но вие решихте да си измиете ръцете и всички тези заявки да ги отдадете на хакерска атака. За какво им е на хакерите да нападат сайт за регистрация на деца в детски градини ???
Изправете се гордо и признайте грешката си. Грешка, която ако признаете ще се приеме по-добре, отколкото целият ИТ бранш да ви се смее с тези “хакерски атаки”.

Всичко мина и замина. Обаче…
получи се един наистина ефективен и достоен семинар, на който присъстваха към 100-120 души. Има хора дошли от София, Шумен и Варна за семинара. Екипи от Верео, Бианор, CNSys, QualityHouse, industria.com и много други :) (просто не ги разпознах из посетителите, за което искрено се извинявам).
Трите лекции минаха безпроблемно, а лекторите показаха класа и опит. Всички отзиви можете да видите на www.SQA-Bulgaria.Info .
С две думи – добро семинарче :) Плановете ми са то да се повтори след Нова година, към края на Януари в София. За там вече ще има и по-голяма посещаемост, а и надявам се по-голяма подкрепа. Светлин Наков от БАРС обеща да намери зала за провеждането на мероприятието…какво по-хубаво от това.
Винаги съм смятал семинарчетата за добра платформа за създаване на нови контакти и приятели. Така и се случи на този. Снимки, материали и презентациите можете да намерите във форума – за всеки които желае де.

Както си човърках из нета тези дни и си търсих нови песни да си обогатя музикалната колекция се натъкнах на следният бъг в най-големият сайт за данни в България – data.bg Вижте бъга. Това ме въвежда на мисълта, че дори и най-големите грешат. Щом хора от data.bg не могат да си решат проблемите, какво остава за нас :)

Колкото и невероятно да звучи, май най-голямият български портал за информация има доста сериозни проблеми напоследък. Сигурно им липсва някой и друг качествен QA да им помогне и окаже съдействие при уеб тестовете :)

Те това е … колкото и да се опитваш да създадеш нещо уникално и безгрешно, толкова няма да стане :)

След няколко дневни тормози и проблеми около един от сайтовете ни – www.SQA-Bulgaria.Info, най-сетне снощи изчистихме всички проблеми. Е, поне се надявам да е така. И в крайна сметка се оказа, че заради този ъпдейт на SQL сървъра, който са правили от хостинг провайдъра цялата база се е омазала. Но най-важното за мен е, че поне не изгубихме нито байт от темите и статиите писани във форума :) Единствено част от изпратените лични съобщения може да се пострадали…но това се преживява.

Тук искам да изкажа и благодарността на съпортта на InBG.eu, че ми предоставиха бекъпите на базата от неделя и понеделник…като в последствие те не ни бяха нужни. Както и да е….най-важното е, че всичко си работи с пълна пара.

Тази седмица ми предстои още работа по организацията на семинара на Качество на софтуера, които се огранизира от името на Българската асоциация за качество на софтуер и SQA-Bulgaria.Info. Трябва да отида да уредя една аула от ПУ или ТУ. Очаквайте още новини съвсем скоро. Както и информция за лекциите и гост лекторите.