docker：容器

Jenkins，reliable：持续集成平台

sonar：代码质量管理的开源平台，SonarQube安装

macaca／appium：UI自动化测试工具

elk

STF 设备管理

netstat：扫描手机内部通讯端口 nmap：扫描服务器内部通讯端口

软件测试的划分

按阶段划分：单元测试，集成测试，系统测试，验收测试。 按需要源码划分：白盒测试，黑盒测试。

白盒测试需要了解：android编译，android覆盖率分析，findbugs，hook工具，iOS编译，iOS覆盖率，iOS静态分析，sonarqube的使用。

黑盒测试：功能测试（逻辑功能测试，界面测试，易用性测试，安装测试，兼容性测试）性能测试（稳定性测试，负载测试，压力测试，一般性能测试（内存，电量，cpu等））

按是否需要运行程序：静态测试，动态测试

按流程划分：回归测试，冒烟测试，随机测试

质量监控：assets，监控体系，接口质量监控，企业接口监控平台，数据准备，elk部署，核心用户反馈，自带反馈系统，线上第三方平台，

插桩工具

客户端安全测试：数据安全（资源安全），程序安全（代码安全），通讯安全（网络请求），业务安全（支付）

数据安全：敏感数据：配置数据（Wi-Fi密码，通讯录，解锁口令）；用户数据（）从三个方面保护：数据的存储机制，采集与使用，数据共享机制。

数据的存储机制：

是否明文（配置文件，应用程序日志，调试信息，反编译代码，数据库查询） 是否有保护机制（加密秘钥硬编码，MD5盐值硬编码，加密算法，密码复杂度，比MD5更高级的加密算法，尽量不使用私有的加密算法）

采集与使用：

只能对用户的不敏感信息进行采集，不可以不正当使用。埋点只能进行用户行为分析。

程序安全：访问控制：组件权限，代码混淆，检查是否能通过机制绕过登录或者支付环节，手势密码等。暗码扫描：完整性：反编译保护，

业务安全：

app免费扫描：http://jap.alibaba.com

问题场景：

1. 开发在修改bug后，没有解决问题，或者解决了问题，却引入了其他bug。
2. 其他竞争对手对app的逆向解析