全球支付工程實現高級總監Adam Satterfield分享了在跨全球團隊進行測試時人際關係的重要性。從Adam豐富的經驗中獲得關於如何處理雲中測試的豐富建議,並找出金融和其他領域安全測試成功的關鍵驅動因素。在這兩集的節目中,塑造測試恒星是亞當的許多焦點之一。為了清晰扼要,以下文字記錄作了輕微編輯。
播客轉錄
第1部分
艾瑪:你好,聽眾。我是主持人艾瑪,我很高興能介紹我們今天的嘉賓。今天是星期一,我一定很興奮!我們請來了亞當·薩特菲爾德,你可以聽到他的笑聲。他是全球支付工程支持的高級總監。Adam是一名真正的軟件測試專家,在SAS、電信、移動、醫療保健和金融等眾多行業中占據了20多年的主導地位。非常熱烈的歡迎,亞當,你好嗎?
亞當:謝謝,我很高興來到這裏。我看過你之前的一些播客,你有很多非常好的演講,所以我對這次很興奮。
艾瑪:太好了。我喜歡你之前說的,你已經準備好進攻這周了!
亞當:是啊,你得站起來,你知道,放手去做。我不太喜歡拖到周一,我更喜歡讓事情有一個爆炸性的開始!
亞當:對,先來一拳吧!
艾瑪:為了我們的聽眾,這是我們的最後一集測試管理係列。這是我們與該領域的領導者交談的地方在企業級製定和實施測試用例管理的策略並且做得很好。和你分手真是太好了,亞當。您與我們合作多年,同時在Global Payments和Anthem管理測試團隊和應用程序組合。這是兩家非常成功的美國公司,都在進行數字化轉型,為成千上萬的客戶提供了非常流暢的體驗,以滿足他們的金融和醫療需求。
讓我們從全球支付的概念開始。在Global,我知道你有1000多名測試員,他們分布在世界各地,從英國到烏克蘭,再到哥倫比亞,最好說他們不在哪裏?!而且您主要使用DevOps,這是有道理的,因為您所促進的支付確實是全球性的。
你能分享一下你是如何在這些地區測試你的投資組合的嗎?
亞當:這絕對是非常具有挑戰性的,尤其是在新冠疫情肆虐的日子裏。所以過去,你知道,你在管理投資組合,進行對話,可能是你,也許是一個房間裏的幾個人。這個團隊的很大一部分人也在一個單一的地點。現在,有很多人分布在不同的地方,大多數人仍然在家工作。所以我想說的是,我們所嚐試做的仍然是有一點人情味。所以我們每次談話都喜歡這樣開始,”嘿,最近怎麼樣?“你在忙什麼呢?”你周末過得怎麼樣?“真正保持人情味,並確保你們有同樣的聯係。
“確保你利用了你的雲工具。所以,你知道,你的聊天工具——Confluence或Slack或其他你使用的工具——讓對話繼續進行,溝通順暢。在新冠疫情之前,溝通非常重要,現在更是如此。如果你沒有這樣的溝通,那就是事情真正容易破裂的時候。”
亞當:是的,這是非常人為的,尤其是現在。我的意思是,我想我們都能意識到:市場非常奇怪,人們來來往往。你知道,一個老事實是——我想高德納公司或其他人做過的一項大型研究表明,超過70%的人離職是因為他們的領導。所以當你看到這樣的事情時(招聘員工已經很困難了),你必須保持個人風格,展示你所做的工作人性化的一麵。是的,過程很重要;工具非常重要,但如果沒有人來做這項工作,它就隻是一個獨立存在的工具。
艾瑪:酷。這就引出了我的下一個問題,因為我們已經主要談到了人的方麵。
在你擔任過的不同角色中,你還應用過其他一致的最佳實踐或原則嗎?
艾瑪:例如,我已經提到了一些公司,但是你已經在副總裁和總監級別領導了QA和測試團隊,而且這些公司都有一個共同點,那就是他們都麵臨著嚴格的合規和安全措施。我有興趣放大一點看看你在這裏應用了什麼原則。
“有兩個核心原則,我幾乎適用於我工作的每個團隊。首先,可能也是最簡單的,始終采取基於風險的方法。”
亞當:我們都很熟悉測試世界和測試壓力:當我們完成一個項目時,我們不得不開始把東西拆下來——當我們駕駛飛機時,我們試圖把座位和行李扔出去,以確保我們有足夠的汽油到達我們的位置。如果你不理解基於風險的方法,你就不知道要測試的最重要的東西是什麼;你不知道什麼對你的客戶或你的企業最重要。這是第一點。
其次,如果您是一名應用程序測試人員,那麼您確實需要依靠OWASP來生存或死亡。這是一個定義網絡應用安全測試最佳實踐的組織。如果你是一名測試人員,你不知道OWASP前10名是什麼,這是非常重要的,這裏有一個提示——它們最近剛剛發生了變化。他們將在2021/2022年推出新模型,所以如果你正在使用OWASP,一定要看看這些變化。如果你不是,你真的需要花點時間去學習。
艾瑪:很好。很好,這些具體的建議。有趣的是,這不是我今天聽到的第一個關於飛機的比喻了。我之前和我的經理說過,不要太關注花生,你知道,你不需要總是這麼細,比如,想想引擎的運行。
亞當:是的。我認為旅行之所以瘋狂,是因為飛機總是人們最關心的事情。
艾瑪:是的。你提到了一些你參與過的雲應用程序。你在這方麵確實很有經驗。具體來說,你在Better Cloud工作了兩年,從事KMS技術;當然,具體來說是基於雲的軟件,但我確定你所擔任的所有職位都與雲有關?
亞當:現在,是的。
艾瑪:是的,沒錯。這是一個非常重要但又令人畏懼的領域。
你認為在雲中進行測試時,關鍵的組件是什麼?
亞當:哦,天哪。你知道,我認為從測試人員和DevOps的角度來看,你真的需要學習一些雲基礎知識。有那麼多免費的培訓,真的沒有理由不去參加。過去,當你想要運行一些軟件測試或運行一個應用程序時,你與基礎設施團隊合作,他們讓奇跡發生,然後“砰!”,您的應用程序就可以運行了。現在,整個團隊有更多的所有權來理解應用程序運行的底層雲基礎設施,以及它們是如何交互的。
Kubernetes或Docker就是一個很好的例子。我非常相信Kubernetes, Docker,容器化,所有這些容器的編排,它們真的可以幫助測試人員和你運行應用程序的方式;您進行瀏覽器測試的方式。
“在我之前的一家公司,我們會在一夜之間啟動一個容器,在該容器上運行我們所有的應用程序或性能測試,並在得到結果後將所有內容刪除。我們每個月節省了數萬美元,因為我們沒有一個持續運轉的環境。”
在雲計算中確實可以做一些真正對您有幫助和好處的事情。所以,現在的測試人員沒有理由不具備基本的知識,因為有這麼多免費的培訓。
艾瑪:肯定。幾個月前我和特蕾西·裏根談過。她是DeployHub的首席執行官,她給我們的聽眾講了關於Kubernetes的基礎知識,非常有意思;這是真正的技術深度潛水,但這是必要的。我的意思是,知道你賺了那麼多,你知道你省了數萬美元。不僅僅是小數目。所以如果這不是一個很好的訴求,那麼我不知道什麼才是。
是的,就像你說的,看看那些真正的雲基礎。有很多免費的培訓。我和索尼婭·勞倫斯談過;她在醫療保健領域也有經驗。她說,你知道,當你進入雲端,你的責任就會增加。所以在各個方麵,你要確保你的數據被收集,無論是周邊,用戶管理,建立責任和問責製也是非常重要的。
亞當:是的,我認為這與現在幾乎每個測試人員都需要成為安全測試人員的想法是一致的,至少要有那種基本的知識。這在很大程度上要歸功於雲,對吧?現在的團隊有很多以前沒有的潛在能力,如果你沒有那麼好的安全基礎,它真的會損害你的公司。我的意思是,我們已經看到了最近發生的所有黑客攻擊和事情,這真的損害了公司的聲譽。
艾瑪:當然,這讓人們坐起來重新思考。
第一部分
艾瑪:從親自檢查他的團隊,到意識到作為一個偉大的領導者所帶來的價值,與亞當談論他對人情味的平衡觀點是如此令人耳目一新。Adam在處理安全性和合規性問題時,采用基於風險的方法總是很有幫助,而且他有很多頂級技巧。
到目前為止,其中有兩個:1)應用程序測試人員,查看OWASP——即O.W.A.S.P——一個免費的在線資源,提供安全測試的最佳實踐;2)如果您正在雲測試,請花時間學習基礎知識。
第2部分
有哪些突出的成就就今年的應用程序轉換而言?
亞當:所以我認為對我個人來說,這是對安全的關注。作為一家金融科技公司,我們必須做的很多事情是,PCI合規性對我們來說是一件大事。所以對我來說,我真的從這個角度跳進了PCI,真正真正地理解了那裏的螺母和螺栓,這真的幫助了我。
我真的參與了MITRE ATT&CK公司或流程,它確實有助於分解黑客和不良行為者利用應用程序和雲基礎設施的方式類型。這對我來說真的是一個很大的福音,能夠走進一個房間,和一個人進行深入的對話,”嘿,這就是我們應該構建應用程序的方式。這就是我們應該測試的地方”——用那種對安全的理解。所以我想說,對我來說,在2021年,安全一直是職業發展和個人成長的首要目標。
艾瑪:是的。從Tricentis的角度來看,這很重要;我們定期接受安全培訓。甚至是一些簡單的事情,比如發現釣魚郵件的方法,因為人們正在尋找新的途徑,你知道,ceo的名字,把它們放在主題行;他們越來越聰明了。
亞當:是的。非常聰明。
艾瑪:是的,有點聰明。
很多資源比如MITRE ATT&CK自由訪問嗎?
亞當:是的,當然。這也是OWASP的偉大之處。正如我們之前提到的,它是免費的。您可以從他們那裏獲得測試計劃,因此您不必創建自定義測試計劃。MITRE ATT&CK免費。所以有很多資源,這是2021年的一大福音。如果我們試著從過去兩年的這些廢話中看到積極的一麵,其中一件事是基於雲的免費培訓的爆炸式增長。我的意思是,它比以前大了2000%。所以,因為我認為人們正在尋找並想要延長他們的職業生涯,他們會說,”嘿,我坐在家裏,也許我應該集中注意力開會,但我要讀這個培訓。”從這方麵來說,這是很酷的。
艾瑪:是的,真的很酷。你說的不僅僅是兩周的免費試用,你實際上可以在課程結束時學到很多東西。正如你已經提到的,你真的很關注人,你顯然在培養人們和他們在事業上的成長,從人情觀的角度切入。
你喜歡教測試人員如何找到他們內心的測試之星。你能不能再深入挖掘一下你是如何做到這一點的,舉幾個閃亮的例子?
亞當:是的,當然。我認為這很大程度上是建立信心。我們與許多測試人員一起工作,他們憑直覺知道自己應該做什麼。他們做得非常非常好,無論是在兔子洞裏追蹤一些東西還是試圖解釋一個bug的風險或影響。但很多時候,我們看到的是,這些技能並不一定與溝通能力或站在房間前解釋為什麼這很重要的能力密切相關。
我所做的很多工作都是教授軟技能,比如溝通:接觸你的觀眾,閱讀你的觀眾,以及理解什麼事情對他們來說是重要的。這對我來說真的很重要。
說到冉冉升起的新星,我的團隊中有一個來自印度浦那的人,他很了不起。在過去的一年裏,我看到他確實在這方麵有所成長,能夠真正負責很多事情。如果沒有他,我們絕對不會像現在這樣完成這麼多的工作。他現在絕對是我的搖滾明星之一。
艾瑪:哦,太不可思議了。我認為培訓人員,如你所說,特別是如果你在一個無法溝通的領域,但你真正擁有一個項目,並將其傳達給許多利益相關者,比如領導力——你有很多人,他們所關注的東西並不細,能夠展示其影響,堅定地擁有它,並在公司內產生反響,這是非常重要的。聽到你這麼做真是太棒了。
亞當:是的。我想說這是非常重要的,尤其是在這些日子裏,這可能也是COVID的結果之一,我們看到c級的人說DevOps和測試之類的詞。而在之前,這幾乎是在c級,沒有那麼多關心;更多的是關於項目和錢。
現在,我參加過幾次會議,比如我們的首席運營官,他是一個非常了解技術的人,他提出,“嘿,我們用DevOps做什麼?我們在這裏做什麼?,並且非常關注和歡迎這些團隊正在做的很多工作。我認為這給了——我在Anthem、BetterCloud和其他雲計算職位上都看到了——測試人員和DevOps專業人員強調他們所做工作的能力,這比幾年前的情況要好得多,當時測試人員在做什麼,對於高管來說是一個黑箱。
艾瑪:是的,太不可思議了。聽起來你真的很幸運。
亞當:我們有一個優秀的領導團隊。我喜歡,太棒了!
艾瑪:是的,如果製定了很多流程或決定,那麼更多的是自上而下的方法,那麼領導層了解這些事情的重要性是非常棒的,因為它的浪潮和影響是巨大的。DevOps是一組巨大的實踐和原則,如果理解了它們,可以走很長的路。然後你在從業者層麵上有真正理解這一點的人,所以如果它來自公司的各個層麵,你將獲得更大的動力。
用不到10個詞,你對正在經曆數字化轉型之旅的人有什麼最好的建議?
亞當:我想說的是關注溝通和變革管理。這就是我所見過的大多數組織失敗的原因,他們隻關注其他事情,而不是這兩件事。
艾瑪:好了!釘。變革管理是一個我希望聽到更多的短語;你經常聽到改變,而且”你準備好改變了嗎?”但實際上,把它作為一種被理解和管理的東西是很棒的。
亞當:是的,當然。這就是我所看到的數字轉型失敗的地方。
“我見過一些公司花費數千萬美元進行數字化轉型,但最終以失敗告終。90%的情況下,它失敗是因為缺乏變更管理。”
因為你會對一個團隊說,”你要做的完全不同。例如,你要采用敏捷”,然後團隊說,”嗯,為什麼呢?我們為什麼要這麼做?”如果你不能回答這個問題,如果你不能提供推理,團隊就不會采用它。他們會一直堅持下去,直到失敗,因為他們以前見過它來了又走。如果你沒有這種(變革管理),那就是徹底的失敗。
艾瑪:是的,這是最重要的。
如果你可以改變應用程序開發世界中的一件事,你會改變什麼?
亞當:我先從教育說起。我們的教育係統在對應用程序開發人員進行安全測試方麵做得很差,對吧?從高中一直到大學畢業,他們必須做的項目都集中在交付上工作軟件,不交付好軟件所以很多開發人員一進入現實世界的工作,他們就會想,”嘿,為什麼我的東西總是被退回?”好吧,這是因為您在代碼中設置了明文密碼,這是一個大禁忌。
注意開發人員需要學習測試,他們需要學習安全性。這就是我所看到的開發者成功的地方,他們自己花時間學習這些技能。
艾瑪:是的。我喜歡你從一開始就講,招聘渠道,教育。無論是自學還是其他原因,我們最終都是因為這個原因而從事這些工作。所以仔細檢查一下,有一個更強大的課程在安全性方麵會更好,這意味著最終會有更強大的軟件。
第二部分
艾瑪:很高興聽到亞當講述他在2021年的重點,這些重點提高了金融領域的成功,例如掌握支付卡行業的合規。Adam教他的團隊如何最好地溝通,並慶祝他們的成就,這真的是一個超越自我的例子!令人鼓舞的是,DevOps現在是全球支付高層員工對話的關鍵部分,他們的支持為亞當和他的團隊的成功故事鋪平了道路。