2026年软件测试工程师的笔试题及答案

2026年软件测试工程师的笔试题及答案一、单项选择题（每题2分，共30分）1.以下哪项不属于AI驱动测试（AIT）的典型应用场景？A.基于用户行为日志自动提供测试用例B.通过对抗提供网络（GAN）构造异常输入数据C.人工编写接口测试的断言脚本D.利用大语言模型（LLM）分析缺陷报告的根因答案：C2.针对2026年主流的大模型对话系统（如智能客服），以下测试重点中最不关键的是？A.多轮对话上下文连贯性验证B.敏感信息（如用户手机号）的泄露风险C.模型在低网络带宽下的响应速度D.对“幻觉”（Hallucination）内容的识别能力答案：C（注：大模型对话系统的核心是语义理解和内容准确性，低带宽场景属于性能测试范畴，非最关键）3.云原生应用（基于K8s+微服务架构）的测试中，以下哪项属于“弹性伸缩测试”的验证点？A.服务实例在CPU使用率超过80%时自动扩容B.不同可用区之间API调用的延迟是否小于200msC.数据库主从切换后事务的一致性D.日志收集服务（如ELK）是否遗漏关键操作记录答案：A4.低代码测试平台（LC/NCTestingPlatform）的核心设计目标是？A.支持所有编程语言的自动化脚本编写B.让非技术人员（如业务人员）能快速设计测试用例C.替代人工测试，实现100%自动化D.兼容所有主流测试工具（如Selenium、JMeter）的输出格式答案：B5.在API测试中，若接口返回“429TooManyRequests”状态码，最可能的原因是？A.请求参数格式错误（如日期字段为“2026-02-30”）B.未携带有效的认证令牌（如JWT）C.短时间内发送的请求次数超过接口限流阈值D.服务器内部发生未捕获的异常（如空指针）答案：C6.以下关于“测试左移”（Shift-LeftTesting）的描述，错误的是？A.在需求评审阶段即介入，验证需求的可测试性B.开发人员在编码时同步编写单元测试用例C.自动化测试仅在集成测试阶段执行D.使用静态代码分析工具检测代码中的潜在缺陷答案：C7.针对2026年热门的边缘计算场景（如智能车载系统），测试时需重点关注的是？A.系统在5G/4G网络切换时的连接稳定性B.服务器端数据库的读写性能C.前端页面的UI交互流畅度D.后端微服务之间的接口契约一致性答案：A8.以下哪项属于“灰盒测试”的典型特征？A.仅根据需求文档设计测试用例，不关注内部实现B.结合代码结构（如分支覆盖率）设计测试数据C.通过自动化工具模拟百万用户并发访问D.由用户代表在真实环境中执行验收测试答案：B9.在性能测试中，若发现“数据库QPS（每秒查询数）”远低于预期，优先排查的方向是？A.应用服务器的CPU使用率是否过高B.数据库慢查询日志中是否存在未索引的查询C.网络带宽是否被其他服务占用D.测试脚本中的思考时间设置是否合理答案：B10.安全测试中，对JWT（JSONWebToken）的验证不包括以下哪项？A.Token的签名是否被篡改B.Token的过期时间（exp）是否合理C.Token中是否包含敏感信息（如明文密码）D.Token的提供算法是否为SHA-1答案：D（注：JWT签名算法通常为HMAC或RSA，SHA-1是哈希算法，非直接验证点）11.以下哪项不属于“持续测试”（ContinuousTesting）的关键实践？A.在CI/CD流水线中集成自动化测试B.每次代码提交后触发冒烟测试C.仅在版本发布前执行全量回归测试D.使用测试数据管理工具维护标准化测试数据集答案：C12.针对大模型训练数据的测试（DataTesting），核心目标是？A.验证模型输出的准确性B.检测数据集中的偏差（Bias）和噪声（Noise）C.测试模型在不同硬件（如GPU/CPU）上的推理速度D.确保训练数据的存储安全性答案：B13.在移动端测试中，“弱网测试”通常模拟的场景不包括？A.4G网络下100ms延迟+5%丢包率B.5G网络下0ms延迟+0%丢包率C.2G网络下500ms延迟+15%丢包率D.Wi-Fi与移动数据切换时的网络中断答案：B14.以下关于“缺陷生命周期”（BugLifecycle）的阶段排序，正确的是？A.新建→打开→修复→验证→关闭B.新建→修复→打开→验证→关闭C.打开→新建→修复→验证→关闭D.新建→验证→修复→打开→关闭答案：A15.2026年某金融系统引入“联邦学习”（FederatedLearning）技术，测试时需重点关注？A.不同机构数据联合训练时的隐私保护（如数据不泄露）B.模型在单一机构数据上的训练速度C.前端页面的响应时间是否符合SLAD.数据库主从同步的延迟是否小于1秒答案：A二、判断题（每题1分，共10分。正确填“√”，错误填“×”）1.自动化测试可以完全替代人工测试，因此所有测试场景都应优先实现自动化。（）答案：×（注：自动化适用于重复执行的场景，探索性测试仍需人工）2.测试用例的设计应覆盖所有可能的输入组合，包括合法与非法场景。（）答案：√3.在微服务架构中，每个服务的接口测试只需验证自身功能，无需考虑服务间调用的依赖关系。（）答案：×（注：需验证服务间调用的正确性和一致性）4.性能测试中，“吞吐量”（Throughput）是指系统能同时处理的用户数。（）答案：×（注：吞吐量是单位时间内处理的请求数，并发用户数是同时在线用户数）5.安全测试中的“SQL注入”攻击，可通过对用户输入进行转义或使用预编译语句（PreparedStatement）来防范。（）答案：√6.测试左移的目的是将测试活动提前到开发早期，从而降低缺陷修复成本。（）答案：√7.大模型测试中，“鲁棒性测试”（RobustnessTesting）主要验证模型在输入微小扰动（如错别字、语法错误）时的输出稳定性。（）答案：√8.云测试（CloudTesting）的优势之一是可以快速扩展测试资源（如并发用户数），无需本地部署大量设备。（）答案：√9.单元测试的覆盖范围应包括代码中的所有分支（BranchCoverage）和条件（ConditionCoverage），因此覆盖率100%是必须的。（）答案：×（注：100%覆盖率不现实，且可能忽略业务逻辑的正确性）10.在移动APP测试中，“碎片化测试”主要关注不同品牌手机（如华为、小米）的系统版本、屏幕尺寸对应用的影响。（）答案：√三、简答题（每题8分，共40分）1.简述AI测试（AIT）与传统测试的核心区别，并列举2个AI测试的具体应用场景。答案：核心区别：传统测试依赖人工设计用例，AI测试通过机器学习自动提供用例、优化测试策略；传统测试对复杂场景（如大模型、高维输入）覆盖不足，AI测试可通过数据驱动挖掘潜在缺陷；传统测试结果分析依赖人工经验，AI测试可通过模型预测缺陷根因、优先级。应用场景示例：①基于用户行为日志的测试用例自动提供（如通过强化学习优化用例覆盖路径）；②大模型对话系统的“对抗测试”（通过提供误导性问题检测模型输出偏差）。2.请说明API测试中需要验证的5个关键维度，并举例说明其中一个维度的具体验证方法。答案：关键维度：①功能正确性：验证接口返回数据与业务需求一致（如用户注册接口返回“200”时，数据库应新增用户记录）；②状态码：检查HTTP状态码是否符合预期（如未登录用户访问受限接口应返回“401Unauthorized”）；③参数校验：验证必填参数缺失、非法参数（如年龄为负数）时接口的容错能力；④性能：测试接口响应时间是否满足SLA（如核心接口响应时间≤500ms）；⑤安全性：检查认证（如JWT是否有效）、授权（如普通用户是否能访问管理员接口）、数据加密（如密码是否密文传输）。示例：参数校验验证方法——使用Postman或Python脚本构造测试数据（如“年龄”字段传“-5”），调用接口后检查返回信息是否为“年龄必须大于0”，同时数据库不存储非法数据。3.某电商平台计划在2026年双11大促期间承接1亿并发用户，需开展性能测试。请描述性能测试的主要步骤，并说明如何定位“数据库瓶颈”。答案：性能测试步骤：①需求分析：明确性能指标（如QPS目标10万、响应时间≤1s）、关键业务场景（如商品详情页、下单）；②环境准备：搭建与生产环境1:1的测试环境（包括数据库、缓存、中间件）；③测试数据准备：提供符合真实场景的用户、商品、订单数据（如1000万用户、100万商品）；④测试执行：逐步增加并发用户数（从1000到1亿），记录响应时间、吞吐量、资源利用率（CPU/内存/磁盘IO）；⑤结果分析：对比性能指标是否达标，定位瓶颈（如应用层、数据库层、网络层）；⑥调优与回归：针对瓶颈优化（如数据库索引、缓存策略）后，重新执行测试验证效果。定位数据库瓶颈的方法：①监控数据库指标：检查QPS、TPS、连接数是否达到上限（如MySQL默认最大连接数200）；②分析慢查询日志：通过EXPLAIN命令查看SQL执行计划，确认是否存在全表扫描、未索引字段；③观察数据库资源：CPU使用率是否超过80%、内存是否不足（如缓冲池大小不够）、磁盘IO是否过高（如频繁写日志）；④对比应用层与数据库层耗时：若接口总耗时中数据库查询占比超过70%，说明数据库是瓶颈。4.2026年某医疗系统引入“低代码测试平台”，需支持护士、医生等非技术人员设计测试用例。请列出该平台需具备的5个核心功能，并说明原因。答案：核心功能及原因：①可视化用例设计：通过拖拽组件（如输入框、按钮）和自然语言描述（如“输入患者姓名‘张三’”）设计用例，降低技术门槛；②业务术语库：内置医疗行业术语（如“诊断代码ICD-10”），避免非技术人员因术语不熟悉导致用例错误；③自动化执行引擎：支持用例一键执行（如调用接口、操作页面），减少人工干预，提升效率；④智能断言功能：自动校验结果（如“患者年龄”是否与输入一致），无需编写代码；⑤缺陷自动上报：执行失败时自动提供缺陷报告（包含截图、日志），并关联测试用例，方便开发定位问题。5.安全测试中，针对“API接口”需重点防范哪些攻击类型？请列举3种，并说明对应的防护措施。答案：攻击类型及防护措施：①SQL注入：攻击者通过接口参数传入恶意SQL语句（如“username=admin'--”），获取数据库数据；防护：使用预编译语句（PreparedStatement）、对输入进行转义、限制数据库权限（如只读）。②越权访问（Horizontal/VerticalPrivilegeEscalation）：普通用户访问其他用户数据（横向越权）或管理员接口（纵向越权）；防护：接口添加身份验证（如JWT）、权限校验（如检查用户角色）、使用RBAC（基于角色的访问控制）。③拒绝服务（DoS）：通过大量请求耗尽接口资源（如连接数、线程池）；防护：实施限流（如Nginx限制IP每分钟请求数）、使用验证码（如滑动验证）、分布式部署（负载均衡）。四、综合题（每题10分，共20分）1.某公司开发了一款“智能车载导航系统”，需开展全面测试。请设计测试方案，涵盖功能测试、性能测试、安全测试、兼容性测试4个维度，每个维度至少列出3个测试点。答案：测试方案设计：功能测试：①路径规划：验证输入起点（如“北京天安门”）和终点（如“上海东方明珠”）时，是否返回多条路线（高速/拥堵/最短）；②实时路况：模拟拥堵场景（如地图标注“前方2公里拥堵”），检查导航是否自动重新规划路线；③语音交互：测试方言（如四川话“去春熙路”）、复杂指令（如“先去加油站，再去机场”）的识别准确率。性能测试：①冷启动时间：车辆启动后，系统从黑屏到显示导航界面的时间是否≤5秒；②高并发定位：模拟100辆车载终端同时请求定位，检查GPS响应时间是否≤1秒；③高温/低温场景：在-30℃（北方冬季）和60℃（夏季暴晒）环境下，测试系统是否卡顿或崩溃。安全测试：①数据传输加密：检查位置信息、用户目的地等数据在4G/5G网络传输时是否使用TLS1.3加密；②远程控制风险：模拟黑客通过OTA升级接口植入恶意代码，验证系统是否有签名校验（如只接受官方证书）；③隐私保护：测试用户删除历史导航记录后，本地存储（如车机硬盘）和云端是否彻底清除数据。兼容性测试：①车机型号：在主流车型（如特斯拉Model3、比亚迪汉）的车机系统（如AndroidAuto、CarPlay）上验证界面适配（无错位、漏字）；②手机互联：测试与不同品牌手机（华为、苹果、小米）的蓝牙连接稳定性（如连续3小时导航不中断）；③地图版本：检查系统是否支持自动更新地图（如每周增量更新），且更新过程中不影响当前导航。2.某企业基于微服务架构开发了“在线教育平台”，包含用户服务、课程服务、支付服务3个核心微服务。请设计接口测试策略，包括测试工具选择、测试点设计、异常场景覆盖，以及如何验证服务间调用的一致性。答案：接口测试策略设计：测试工具选择：基础功能测试：Postman（可视化界面，适合非技术人员协作）；自动化测试：Python+Requests（灵活编写脚本，集成CI/CD）；契约测试：Pact（验证服务间接口契约，如用户服务提供的“获取用户信息”接口，课程服务调用时参数是否匹配）；性能测试：JMeter（模拟高并发，如支付服务在选课高峰期的QPS）。测试点设计：用户服