我们如何在不让 QA 疲惫的情况下每月交付受监管的 SaaS
Source: Dev.to
大型、全球化的制药行业 CRM – 移动 + 网页,多租户,客户遍布美国、欧盟和亚太地区。
我们进行 每月发布,支持多个主要版本,并在 GxP / 21 CFR Part 11 / GDPR / SOC 2 规范下运行。
多年来,我们的默认模式是: “新版本?把周末让给 QA 吧。”
今天,我们仍然在受监管的环境中 每月发布,不让 QA 疲惫,并且 仍能通过审计。
本文阐述了 我们是如何做到的。
真正的问题:速度 vs. 安全 vs. 人员
在受监管的 SaaS 环境中,你同时面临三大约束:
| 约束 | 描述 |
|---|---|
| 速度 | 客户期待频繁更新。产品团队希望每月推出新功能。销售需要可以对外承诺的路线图日期。 |
| 安全与合规 | 必须实现需求 → 测试 → 缺陷 → 证据的可追溯性。审计需要验证包,且不能仅仅回滚导致受监管流程中断的发布。 |
| 人员(你的团队) | 深夜回归测试、周末“全员”测试,以及在项目和发布之间不断切换的上下文。 |
许多团队犯的错误是试图通过 更多手动工作(“这次我们就更努力地测试”)来解决问题,而不是 改变系统。
原则:质量是一个系统,而非阶段
我们做的第一个思维转变既简单又根本:
质量保证(QA)不是“最后一道关卡”。QA 是质量体系的拥有者。
在实践中,这意味着:
- 开发人员负责 单元测试 和基本的 集成检查。
- QA 负责 策略、框架 和 风险模型,而不仅仅是执行测试用例。
- 合规和验证团队与 QA 提前合作,而不是仅在最后“盖章”文件。
我们不再采用开发在发布前把代码“扔过墙”给 QA 的流程,而是转向一种模型,由 QA 设计发布通道、基于风险的覆盖、自动化与手动探索以及证据生成/存储。
我们的发布模型:分道行驶,而非混乱
我们将发布标准化为三条通道,以消除“所有事项都紧急,必须全部测试”的思维模式。
| 通道 | 何时使用 | 特点 |
|---|---|---|
| 月度发布(标准通道) | 主要是增量更改:修复、配置、小功能。 | 严格的进入标准,强依赖自动化,重点人工检查。 |
| 重大发布(重载通道) | 架构变更、大规模 UI 改版、新模块。 | 更长的硬化窗口,额外的验证、文档、利益相关者审查。 |
| 热修复(紧急通道) | 范围狭窄的仅生产环境问题。 | 在受影响区域必须进行自动回归测试,对关键流程进行冒烟测试,制定明确的回滚计划。 |
每条通道都有已定义的范围规则、不同的回归深度以及不同的签署协议。并非每个更改都需要“完整回归”,但每个更改都需要合适的回归。
最小可行验证流水线
在受监管的 SaaS 环境中,你不能仅仅说“我们运行 CI/CD”。必须拥有一个 可向审计员解释 的流水线。
每次变更的流水线流程
-
合并前
- 静态分析(SAST)
- 单元测试
- 基础组件 / 集成测试
-
合并后 – 构建流水线
- 构建产物(Web、服务、移动端)
- 对已部署构建进行 API 测试
- 对关键路径进行 UI 冒烟测试
- 安全扫描(SCA、聚合层级 SAST)
- 收集证据(日志、报告、截图)
-
发布前 – 环境验证
- 端到端回归(基于风险的子集)
- 移动端与浏览器矩阵冒烟测试
- 数据迁移与配置检查
- 对高风险发布进行性能合理性检查
-
发布 – 审批与审计轨迹
- 捕获电子签字(谁批准、何时、使用了哪些证据)
- 使用发布 ID 为构建打标签
- 将其关联到验证产物
- 更新变更管理记录
实现这种节奏的关键因素是 在我们稳定的回归流程中提升自动化覆盖率。随着更多核心检查迁入流水线,每一次提交和每一个候选发布都会自动执行之前需要数天人工完成的大部分场景。这使得月度发布的测试窗口从“所有人一周内测试所有内容”压缩到几天的聚焦测试——而且信心不减。
关键不在于具体工具,而在于 每个阶段都是可重复的、每个阶段都留下证据,并且你能够带领审计员逐步走过流水线,展示明确的控制点。
Source: …
我们的三层测试策略
为避免“每次都测试所有内容”,我们采用了 分层策略。
第 1 层 – 安全网(自动化基础)
这些测试 必须始终运行:
- 核心流程 UI 冒烟:登录、搜索、创建、更新、批准。
- 关键 API 合约测试。
- 安全防护:身份验证、会话处理、角色与权限。
- 区域与租户路由基础:美国、欧盟及其他地区,多租户行为。
此层 快速(分钟级,而非小时)、稳定(几乎没有 flaky),并通过仪表盘高度可见。我们在此投入了大量自动化覆盖,因为每自动化一个关键路径,就能减少重复的手动回归测试,直接缩短发布周期。
第 2 层 – 有针对性的手动测试
我们不再假装可以自动化所有内容,而是问自己:本次发布的真实风险在哪里?
我们将变更划分为以下几类:
- 面向用户的工作流 – UI/UX 变更、多步骤流程。
- 高风险数据操作 – 计算、隐私敏感操作、跨区域流转。
- 集成 – CRM、分析、第三方 API。
- 配置密集型特性 – 功能标记、租户特定行为差异。
针对每类,我们设计 有针对性的手动场景:
- 新特性的全新场景。
- 对变更区域进行探索性测试。
- 自动化薄弱的负面或边缘案例。
手动测试人员将时间花在 自动化尚未提供信心的地方,确保基于风险的覆盖,而不进行不必要的工作。
第 3 层 – 持续改进与反馈
- 度量与仪表盘 – 测试运行成功率、flake 比例、自动化覆盖趋势。
- 回顾 – 每个发布阶段结束后,审查遗漏的缺陷、误报以及流程瓶颈。
- 自动化待办事项梳理 – 那些反复出现的高影响手动场景,将成为下一个周期的自动化候选。
要点
- 将质量视为一个系统 – QA 负责整体策略,而不仅仅是把关。
- 定义发布通道,明确范围、回归深度和签署规则。
- 构建可审计的验证流水线,在每个阶段生成证据。
- 分层测试:快速安全网、基于风险的手动重点以及持续改进。
- 在最关键的地方投入自动化——核心流程、安全性以及租户/区域处理。
通过系统化的方法将 速度、安全 与 人力容量 对齐,我们现在能够每月发布受监管的版本 而不让 QA 团队燃尽,并且每次都提供 审计就绪的证据。
第三层:合规性与证据
在受监管的环境中,除非能够证明测试了什么、谁进行的测试、测试结果是什么以及对应的需求或风险,否则测试几乎没有意义。
我们构建了一个轻量级的可追溯性模型,将需求与测试场景、自动化或手动测试以及日志、报告或截图等证据关联起来。在此基础上,我们会为每个版本生成验证摘要报告,内容包括:
- 变更范围
- 风险评估
- 测试覆盖率
- 偏差及其理由
- 最终签署
关键在于尽可能从流水线中自动生成这些内容,而不是让 QA 每月手动编写冗长的验证文档。
我们如何规划月度发布(逐步)
1. 早期范围界定(T‑3 到 T‑4 周)
- 产品和工程共享候选范围。
- QA 创建风险矩阵,将项目标记为 low、medium、high 风险,并标记 “validation‑heavy” 项目,例如影响合规性的更改。
- 输出: 一组风险桶和发布的覆盖预期。
2. 进入标准检查(T‑2 周)
- 确认该通道的代码冻结。
- 所有 high‑risk 项目必须在低环境中拥有可测试的构建,并且至少具备基本的自动化挂钩。
- 如果某个大型功能仍然不稳定,我们不会默默吸收它;要么推迟发布,要么转移到其他通道。
3. 自动化优先,绝不只靠自动化(T‑2 到 T‑1 周)
- 若引入新的 “core paths”,需更新 safety‑net 套件。
- 为 API 与 UI 回归套件打上发布标签,以便仅运行相关测试。
- 在功能完成 之前 或 同步 添加新的自动化测试,而不是事后补充。
由于此阶段的大部分回归已实现自动化,我们可以快速验证候选构建,快速向开发者反馈,并在不增加手动 QA 压力的情况下保持月度节奏。
4. 集中手动测试(T‑5 到 T‑2 天)
- QA 仅在变更或 high‑risk 区域执行针对性的手动场景。
- 探索性会话设定时间盒并以目标驱动,例如 “使用异常数据和部分网络故障破坏审批工作流”。
- 发现的缺陷回流到自动化待办列表,形成闭环。
5. 发布就绪评审(T‑2 到 T‑1 天)
- 参与者:QA、开发、产品,有时还有合规。
- 对比风险矩阵与实际覆盖、失败的测试以及未解决的缺陷(尤其是高严重度)。
- 检查任何流程偏差,如跳过的套件或环境事故。
- 审阅 validation summary draft。
结果: 明确的 go、no‑go,或 带有记录风险和缓解措施的 go。
我们如何避免 QA 疲惫
即使拥有出色的流水线,如果行为方式不改变,团队仍会被压垮。以下是我们的做法。
没有“英雄主义作为流程”
我们明确规定:“周末测试”是失败信号,而不是荣誉徽章。如果有人为一次发布加班,我们把它当作回顾议题——在范围、计划或自动化方面哪里出了问题——并视为一次性例外,而不是新的常规。
发布轮值与明确角色
- 创建了 发布负责人(release captain)角色,在资深 QA 工程师之间轮换。
- 其他团队成员担任 特性负责人(feature owners),而不是每个人都被拉进所有事务。
这样可以分散压力,并为人员提供恢复周期。
真正可维护的自动化
- 为每个测试套件分配明确的所有者。
- 设定可接受的 flaky(不稳定)阈值。
- 要求测试代码遵循与生产代码相同的质量标准。
随着时间推移,这让我们的自动化变得可信,而不是噪音。
保护专注时间
在关键发布窗口期,我们 尽可能冻结 QA 团队的非发布新工作。削减不必要的会议,给大家留出思考和探索的时间,并通过仪表盘和发布渠道的异步更新取代持续的状态通话。
与审计员打交道:展示,而非仅仅说明
在受监管的 SaaS 环境中,迟早会有人问:“你们怎么知道这次月度发布已经验证且安全?”
因为我们投入了结构化、可重复的流水线和可追溯性,我们可以:
- 展示特定发布的流水线运行历史。
- 调出与该发布 ID 关联的验证摘要。
- 带领审计员审阅风险评估、覆盖率、证据和批准流程。
一旦审计员看到一致性和可控性,他们对“月度”这个词的紧张感就会大大降低。
一个可采用的简易 6 个月蓝图
如果你还没有达到目标,这里有一条切实可行的路径。
第 1–2 个月:夯实基础
- 定义发布通道(标准版、主版本、热修复)。
- 确认最关键的 20–30 条业务流并构建快速冒烟测试套件。
- 引入明确的 go/no‑go 评审会议,让 QA 真正拥有发言权。
第 3–4 个月:实现流水线自动化
- 将冒烟套件和基础 API 测试集成到 CI 中。
- 开始自动捕获证据(报告、日志)。
- 为发布编写简易的风险矩阵模板。
第 5–6 个月:加入基于风险的深度与验证
- 将功能划分为低风险、中风险和高风险,并据此调整回归测试深度。
- 构建验证摘要模板,并从流水线输出和手工记录中生成。
- 设立硬性规则:不再默认执行“全量回归”——所有内容都必须通过风险过滤。
此后持续迭代:让测试更快、证据更易生成、流程更人性化。
最后思考
每月发布受监管的 SaaS 而不让 QA 精疲力竭 并不是 通过购买新工具或强迫加班来实现的。
这在于将质量视为一个 系统 而非单一阶段,设计审计人员能够 看到 的发布通道和验证流水线,并为 QA 团队提供他们保持健康和高效所需的结构和关注点。
Understand, using risk‑based testing instead of brute‑force regression, and protecting your QA team from endless heroics so they have space to think.