Autotest Assist：雲端經濟下嘅API質量隨機測試生成

目錄

1. 簡介

由API經濟驅動嘅數碼轉型，依賴部署喺混合雲同邊緣環境嘅複雜微服務架構。呢啲服務通常嚟自多個供應商，組合埋一齊以提供商業價值。例如，一間網上書店可能會整合庫存、購物車、信用驗證同送貨微服務。呢種組合引入咗超越功能正確性嘅重大質量挑戰，包括通訊故障、訊息排序問題、服務部署同熔斷器故障。

測試呢啲API本質上好複雜，因為可能嘅呼叫序列同參數組合空間極大，令到窮舉測試唔切實際。傳統定向測試好耗費人力。本文介紹Autotest Assist，呢個係一個隨機測試生成工具，旨在通過讀取API規格、推導模型同生成測試來自動化API測試，同時揭示規格陷阱。

2. 隨機API測試生成嘅核心挑戰

隨機測試生成範式涉及隨機選擇一個API函數 $f()$ 同佢嘅合法輸入參數 $p_1, ..., p_k$，執行佢，並觀察輸出同副作用。呢個過程面臨幾個關鍵挑戰。

2.1 語法同語義輸入有效性

除咗生成語法正確嘅輸入之外，生成器必須確保參數符合API嘅前置條件，令呼叫成功。例如，呼叫一個「買書」API $g()$ 需要一個有效嘅書籍引用，呢個引用係從之前嘅「獲取書籍」API $f()$ 獲得嘅。

2.2 行為驗證同測試預言問題

確定一個API呼叫係咪按預期行為（測試預言問題）喺隨機測試中並唔簡單，尤其對於有狀態系統。

2.3 除錯同問題隔離

當一個隨機生成嘅測試揭示問題時，系統必須支援除錯，由於測試嘅非確定性，呢個可能好困難。

2.4 同定向回歸測試套件整合

一個關鍵問題係點樣將一個有價值嘅測試用例（尤其係揭示咗錯誤嘅用例）整合到一個穩定嘅定向回歸測試套件中。

2.5 覆蓋率評估同信任度

評估隨機生成達成嘅覆蓋率，並確定係咪可以單獨信任佢嚟回歸系統，抑或仍然需要一個定向測試套件。

3. Autotest Assist 方法

Autotest Assist 通過根本上依賴API規格嚟應對頭兩個挑戰。

3.1 API規格作為基礎

工具讀取API規格，規格必須定義前置條件同後置條件。呢個規格作為生成有效測試同測試預言嘅單一真相來源。

3.2 模型推導同測試生成

從規格中，Autotest Assist 推導出API行為、依賴關係同狀態嘅模型。然後用呢個模型驅動語法同語義有效嘅API呼叫序列嘅隨機生成。

3.3 揭示規格陷阱

呢個方法嘅一個重要附加好處係，讀取同建模規格嘅過程本身就可以揭示規格中嘅模糊性、不一致性或缺失嘅約束——呢啲陷阱否則可能會導致整合錯誤。

4. 關鍵見解同分析師觀點

5. 技術細節同數學框架

Autotest Assist 嘅核心涉及從規格推導模型。我哋可以將一個API $f$ 概念化為一個具有前置條件 $Pre_f$ 同後置條件 $Post_f$ 嘅函數。系統狀態 $S$ 由API呼叫修改。

生成算法可以抽象為：

1. 模型： 對於每個API $f_i$，提取 $Pre_{f_i}(S, \vec{p})$ 同 $Post_{f_i}(S, S', \vec{p}, \vec{r})$，其中 $S$ 係前置狀態，$S'$ 係後置狀態，$\vec{p}$ 係參數，$\vec{r}$ 係結果。
2. 選擇： 隨機選擇一個API $f_i$，其中 $Pre_{f_i}(S_{current}, \vec{p})$ 可以滿足。呢個需要根據 $S_{current}$ 求解 $\vec{p}$。
3. 生成： 為滿足 $Pre_{f_i}$ 嘅 $\vec{p}$ 生成具體值。
4. 執行同驗證： 執行 $f_i(\vec{p})$，觀察新狀態 $S'_{observed}$ 同結果 $\vec{r}_{observed}$。驗證 $Post_{f_i}(S_{current}, S'_{observed}, \vec{p}, \vec{r}_{observed})$ 成立。
5. 狀態更新： 如果有效，更新 $S_{current} = S'_{observed}$。

挑戰在於高效解決步驟2同3中嘅約束，呢個同可滿足性模理論（SMT）問題有關。

6. 實驗結果同性能

雖然提供嘅PDF摘錄唔包含具體嘅定量結果，但本文暗示咗對評估至關重要嘅性能指標：

• 錯誤檢測率： 與定向測試相比，每單位測試時間揭示嘅缺陷（實現同規格中）數量同嚴重性。
• 序列有效性率： 隨機生成嘅API呼叫序列中語義有效（即滿足所有前置條件）嘅百分比，展示模型嘅有效性。
• 狀態空間覆蓋率： 關於唔同系統狀態同參數值邊界覆蓋率嘅指標，可能使用代碼覆蓋率工具或自定義狀態探針測量。
• 規格陷阱發現： 對建模階段喺API規格中發現嘅模糊性或錯誤類型嘅定性分析。

一個假設嘅結果圖表會顯示隨機測試嘅錯誤發現初始曲線急升，最終趨於平穩，而定向測試提供穩定但較低嘅發現率。組合方法產生最高嘅累積缺陷發現。

7. 分析框架：非代碼示例

考慮一個簡化嘅「書店API」，有兩個操作：

1. GET /book/{id}：返回書籍詳情。前置條件： 庫存中必須存在一本ID為 `{id}` 嘅書。
2. POST /cart/{bookId}：將一本書加入購物車。前置條件： ID為 `{bookId}` 嘅書必須可用（存在且有庫存）。

Autotest Assist 工作流程：

1. 模型推導： 工具讀取規格並學習依賴關係：`POST /cart` 需要首先成功呼叫 `GET /book`（以確認存在/可用性）。
2. 測試生成： 佢隨機決定測試 `POST /cart/{bookId}`。
3. 參數求解： 為滿足前置條件，佢必須首先生成一個有效嘅 `bookId`。佢可能通過以下方式之一做到：
   a) 用隨機ID呼叫 `GET /book` 直到一個成功（探測）。
   b) 使用先前測試運行或種子數據中嘅已知ID列表。
   然後佢用呢個有效嘅 `bookId` 進行 `POST /cart` 呼叫。
4. 陷阱發現： 如果 `POST /cart` 嘅規格只提到「書必須存在」，但實現仲檢查庫存水平，隨機測試可能會失敗。Autotest Assist 將呢個標記為規格陷阱：規格中嘅前置條件唔完整。
5. 回歸整合： 成功將項目加入購物車嘅序列 `[GET /book/valid_id, POST /cart/valid_id]` 被保存為定向回歸套件嘅候選。

8. 未來應用同研究方向

• AI增強規格推斷： 整合LLM嚟解釋自然語言或唔完整規格，並建議正式嘅前置/後置條件，減少創建完美規格前期嘅負擔。
• 自適應同反饋驅動生成： 超越純粹隨機性，使用強化學習。生成器將學習邊啲API序列同參數值更有可能發現新錯誤或探索未覆蓋嘅狀態空間，類似於自適應模糊測試中嘅技術。
• 跨服務同整合測試： 擴展模型以理解唔同供應商微服務之間嘅依賴關係同合約，為複雜嘅多服務工作流程同故障場景（例如熔斷器模式）生成測試。
• 合規同安全測試： 將安全策略（例如OAuth範圍、數據私隱規則）納入模型，自動生成驗證功能同非功能合規要求嘅測試。
• 實時API監控同測試： 使用相同模型生成低流量、持續嘅測試套件，針對生產或預發環境運行，以實時檢測回歸或規格漂移。

9. 參考文獻

1. Farchi, E., Prakash, K., & Sokhin, V. (2022). Random Test Generation of Application Programming Interfaces. arXiv preprint arXiv:2207.13143v2.
2. Myers, G. J., Sandler, C., & Badgett, T. (2011). The Art of Software Testing. John Wiley & Sons. (關於基礎測試原則)。
3. Osterweil, L., et al. (2020). Shifting Left: The Economic Impacts of Early Defect Detection. Carnegie Mellon University, Software Engineering Institute. (關於早期測試嘅成本效益分析)。
4. Google Testing Blog. (2019). Fuzzing at Scale. Retrieved from https://testing.googleblog.com/. (關於大規模隨機測試嘅實用見解)。
5. de Moura, L., & Bjørner, N. (2008). Z3: An Efficient SMT Solver. Tools and Algorithms for the Construction and Analysis of Systems. (關於測試生成中使用嘅約束求解技術基礎)。
6. OpenAPI Initiative. (2023). OpenAPI Specification v3.1.0. https://spec.openapis.org/oas/v3.1.0. (關於機器可讀API規格嘅標準)。