QA на практиці
Реальні баг-репорти, інтерактивний запуск тестів і зрозумілі QA-артефакти, які показують як ми знижуємо ризик релізу до виходу в продакшн.
Докази До Контакту
Реальні приклади QA
Ця сторінка працює як короткий proof-pack: замість абстрактних обіцянок ви одразу бачите формат баг-репортів, рівень деталізації та якість QA-артефактів, з якими працюватиме ваша команда.
Як Ми Працюємо З Репортом
Як ми оформлюємо знахідки
Проблема
Фіксуємо проблему, контекст, середовище та кроки відтворення без двозначності.
Вплив
Пояснюємо, що саме ламається для користувача, бізнесу або релізу.
Рекомендація
Даємо безпечніші напрями виправлення та що перевірити після змін.
Повторна перевірка
Після фіксу перевіряємо сценарій повторно і підтверджуємо реальний статус.
Формат Реального Звіту
Приклади баг-репортів
PAY-001
КРИТИЧНИЙ
Таймаут платіжного шлюзу
Оплата не проходить, коли відповідь провайдера займає більше 15 секунд. Користувачі втрачають замовлення та гроші.
Оточення: Продакшн, Chrome 120, мережа 3G
Кроки відтворення:
- Додати товар до кошика
- Перейти до оформлення
- Ввести дані картки
- Натиснути "Оплатити" на повільному з'єднанні
Фактичний результат: Помилка таймауту "Сесія закінчилась" після 15с
Очікуваний результат: Платіж обробляється або показується кнопка повторити
Рекомендації:
- Збільшити таймаут до 30 секунд
- Додати механізм повторів (3 спроби)
- Показувати індикатор прогресу
RULE-001
КРИТИЧНИЙ
Processing продовжує пошук транзакцій після відхилення Travel Rule
Сервіс processing-service продовжує пошук і обробку транзакцій навіть після того, як сервіс Travel Rule повертає статус відхилення (DECLINED).
Оточення: Продакшн, Процесинг, Travel Rule
Кроки відтворення:
- Створити інвойс або транзакцію
- Дочекатися запуску перевірки Travel Rule
- Повернути відповідь DECLINED від сервісу Travel Rule
- Перевірити логи processing-service та активність черг
- Переконатися, що пошук транзакції продовжується після відхилення
Фактичний результат: Processing-service продовжує пошук та обробку транзакцій після відхилення перевірки Travel Rule.
Очікуваний результат: Processing-service повинен негайно припиняти пошук та подальшу обробку транзакцій після отримання статусу відхилення від Travel Rule.
Рекомендації:
- Негайно завершувати transaction-search після статусу DECLINED
- Додати early-stop механізм для processing pipeline
- Блокувати створення нових processing jobs після відмови Travel Rule
- Додати guard-check перед кожним етапом обробки транзакції
- Логувати причину зупинки processing flow
- Покрити сценарій integration та e2e тестами
RPC-018
КРИТИЧНИЙ
Polygon RPC provider повертає некоректні block data
Polygon RPC провайдери (Infura, Alchemy, GetBlock) періодично повертають
некоректні block payloads, які не проходять десеріалізацію через
DeserError: BlockTransactions під час обробки блоків.
Оточення:
Продакшн, Polygon RPC, Infura / GetBlock
Кроки відтворення:
- Підключитися до Polygon RPC через Infura або Alchemy
- Запросити block data через
eth_getBlockByNumber - Спробувати десеріалізувати
BlockTransactions - Перевірити появу періодичних
DeserError
Фактичний результат:
Десеріалізація блоків періодично завершується помилкою
DeserError, через що RPC backend пропускає частину блоків.
Очікуваний результат:
Block data повинні коректно десеріалізуватися, включаючи підтримку
EIP-4844 blob transactions.
Рекомендації:
- Оновити логіку десеріалізації транзакцій для підтримки EIP-4844
- Додати fallback parsing для невідомих transaction variants
- Реалізувати retry та provider failover для некоректних RPC-відповідей
- Логувати номери проблемних блоків і відповіді провайдерів
- Валідувати RPC payload schema перед обробкою транзакцій
- Покрити blob transaction сценарії regression та integration тестами
INV-024
КРИТИЧНИЙ
Crypto invoice очікує повний timeout без виявленого депозиту
Crypto invoices залишаються у стані AwaitingCryptoDeposit
до повного expires_at timeout (5-10+ годин), навіть якщо
blockchain transaction так і не була виявлена, що створює поганий UX
у payment widget.
Оточення:
Продакшн, payment-invoices, crypto payment widget
Кроки відтворення:
- Створити crypto invoice та відкрити payment widget
- Перевірити стан
AwaitingCryptoDeposit - Не надсилати crypto transaction
- Дочекатися завершення deposit detection window
- Переконатися, що invoice продовжує очікування до
expires_at
Фактичний результат:
Invoice залишається активним протягом усього timeout (5-10+ годин).
Step_02 продовжує polling oracle-pool приблизно кожні 2 хвилини та
отримує відповіді
"Transaction still not found", тоді як
widget продовжує показувати "awaiting payment".
Очікуваний результат:
Invoices без виявлених blockchain transactions повинні завершуватися
раніше після завершення deposit detection window, тоді як повний
expires_at timeout повинен застосовуватися лише після
виявлення транзакції.
Рекомендації:
- Реалізувати two-tier timeout логіку для crypto invoices
- Додати early expiry для invoices без знайдених транзакцій
- Зберігати можливість cancel під час deposit detection window
- Не завершувати invoice, якщо oracle-pool вже виявив in-flight transaction
- Відписувати oracle-pool listeners при будь-якому expiry state
- Винести invoice timeout values у configurable environment variables
C2F-011
КРИТИЧНИЙ
GetInvoice повертає 500 після oracle-pool callback
Після отримання oracle-pool callback endpoint
GetInvoice повертає
500 Internal Server Error замість коректного invoice object.
Оточення:
Development, payment-invoices, oracle-pool callback flow
Кроки відтворення:
- Створити invoice через
PaymentInvoicesService.CreateInvoice - Переконатися, що invoice має стан
pending.awaiting_crypto_deposit - Викликати
GetInvoiceта перевірити, що endpoint працює до callback - Надіслати
POST /v1/callbacks/oracle-poolзіstatus=1таconfirmations=1 - Повторно викликати
GetInvoiceдля того жinvoice_id
Фактичний результат:
GetInvoice повертає
500 Internal Server Error після обробки oracle-pool callback.
Очікуваний результат:
GetInvoice повинен повертати коректний invoice object
з оновленим статусом:
pending.awaiting_checks,
pending.awaiting_exchange
або expired.
Рекомендації:
- Перевірити invoice state transitions після oracle-pool callback
- Додати null та schema validation перед invoice serialization
- Логувати callback payloads та invoice state mutations для debugging
- Не допускати некоректні invoice states до GetInvoice response mapping
- Додати fallback error handling для malformed callback data
- Покрити callback-to-GetInvoice flow integration та regression тестами
AUTH-042
ВИСОКИЙ
Токен сесії в URL
Токен аутентифікації видно в адресному рядку браузера, що дозволяє перехоплення через історію браузера або логи проксі.
Оточення: Всі браузери, після OAuth входу
Кроки відтворення:
- Натиснути "Увійти через Google"
- Завершити OAuth авторизацію
- Перевірити URL після редіректу
Фактичний результат: Токен видно:
site.com/home?token=abc123
Очікуваний результат: Токен зберігається тільки в httpOnly cookie
Рекомендації:
- Прибрати токен з URL параметрів
- Використовувати secure cookie з SameSite=Strict
- Перевірити логи доступу на наявність токенів
UI-089
СЕРЕДНІЙ
Накладання меню на iPhone SE
Пункти меню навігації накладаються один на одного на екранах менше 375px
Оточення: iOS Safari, iPhone SE (375×667)
Кроки відтворення:
- Відкрити сайт на iPhone SE
- Натиснути на меню-бургер
- Подивитися розташування пунктів меню
Фактичний результат: Пункти меню накладаються, деякі недоступні
Очікуваний результат: Всі пункти меню видні та клікабельні
Рекомендації:
- Додати media query для екранів <375px
- Зменшити розмір шрифту або відступи
- Тестувати на реальному iPhone SE
SYNC-014
ВИСОКИЙ
Втрата чернетки після оновлення сторінки
Останні зміни в довгій формі зникають, якщо користувач оновлює сторінку під час затримки автозбереження.
Оточення: Стейджинг, Safari 17, нестабільний Wi-Fi
Кроки відтворення:
- Відкрити довгу форму з автозбереженням
- Вводити дані 20-30 секунд
- Оновити сторінку під час синхронізації
Фактичний результат: Останні зміни зникають без попередження
Очікуваний результат: Чернетка відновлюється або показується попередження про незбережені зміни
Рекомендації:
- Зберігати несинхронізований стан локально
- Додати індикатор стану синхронізації
- Попереджати перед перезавантаженням за наявності незбережених змін
ROLE-031
КРИТИЧНИЙ
Ескалація прав через кеш ролей
Після відкликання адмін-прав користувач ще певний час може виконувати захищені дії.
Оточення: Продакшн, SaaS адмін-панель
Кроки відтворення:
- Зняти роль адміністратора з існуючого користувача
- Не завершувати поточну сесію
- Спробувати виконати адмін-дії
Фактичний результат: Частина адмін-ендпоінтів залишається доступною до протухання кешу
Очікуваний результат: Зміни ролей застосовуються одразу після оновлення прав
Рекомендації:
- Інвалідувати кеш ролей після оновлення прав
- Перевіряти ролі серверно для чутливих дій
- Логувати спроби доступу після revoke
AN-022
СЕРЕДНІЙ
Подія покупки не потрапляє в аналітику
Успішне замовлення створюється, але подія покупки не відправляється після оформлення в один клік.
Оточення: Продакшн, GA4 + внутрішній BI-конвеєр
Кроки відтворення:
- Запустити оформлення в один клік зі збереженою карткою
- Успішно завершити оплату
- Перевірити мережеві запити й дашборд аналітики
Фактичний результат: Замовлення створене, але подія доходу відсутня
Очікуваний результат: Подія покупки відправляється один раз з коректною сумою та ID замовлення
Рекомендації:
- Запускати аналітику тільки після підтвердженого backend-успіху
- Додати сповіщення про просідання подій покупки
- Покрити checkout-сценарії окремим regression-набором
PERF-017
СЕРЕДНІЙ
Скидання фільтрів після пагінації каталогу
Після переходу на другу сторінку каталогу активні фільтри зникають, а список товарів змінюється без попередження.
Оточення: Продакшн, Chrome 123, десктопний каталог
Кроки відтворення:
- Відкрити каталог товарів
- Застосувати 2-3 фільтри й сортування
- Перейти на другу сторінку результатів
Фактичний результат: Фільтри скидаються, показуються невідфільтровані товари
Очікуваний результат: Фільтри зберігаються при пагінації
Рекомендації:
- Додати фільтри в URL параметри
- Використовувати History API для навігації
- Зберігати стан фільтрів в sessionStorage
FILE-055
ВИСОКИЙ
PDF-рахунок доступний після виходу з акаунта
Посилання на інвойс продовжує відкривати документ навіть після завершення сесії користувача.
Оточення: Продакшн, клієнтський портал, історія інвойсів
Кроки відтворення:
- Увійти в акаунт і відкрити історію рахунків
- Скопіювати пряме посилання на PDF
- Вийти з акаунта й відкрити посилання в новій вкладці
Фактичний результат: Документ завантажується без повторної перевірки доступу
Очікуваний результат: Доступ до файлу блокується або вимагає нову авторизацію
Рекомендації:
- Перевіряти авторизацію на рівні файлового ендпоінта
- Використовувати короткоживучі підписані URL
- Додати аудит доступу до чутливих документів
SQL-008
КРИТИЧНИЙ
SQL-ін'єкція в пошуковому полі
Поле пошуку не екранує спецсимволи, дозволяючи виконання довільних SQL-запитів.
Оточення: Продакшн, пошук товарів, PostgreSQL 14
Кроки відтворення:
- Відкрити каталог товарів
- Ввести в пошук:
'; DROP TABLE orders; -- - Натиснути Enter
Фактичний результат: Запит виконується без санітизації, можлива втрата даних
Очікуваний результат: Спецсимволи екрануються, пошук безпечний
Рекомендації:
- Використовувати параметризовані запити (prepared statements)
- Додати валідацію введення на рівні API
- Ввімкнути WAF правила для SQL-ін'єкцій
XSS-003
ВИСОКИЙ
XSS через поле відгуку
Відгуки користувачів відображаються без ескейпінгу HTML, дозволяючи виконання скриптів.
Оточення: Продакшн, сторінка товару, розділ відгуків
Кроки відтворення:
- Відкрити будь-який товар
- Додати відгук з текстом:
<script>alert('XSS')</script> - Зберегти відгук
Фактичний результат: Скрипт виконується при перегляді відгуку іншими користувачами
Очікуваний результат: HTML-теги ескейпляться, текст відображається як текст
Рекомендації:
- Використовувати textContent замість innerHTML
- Додати CSP заголовки
- Провести аудит всіх місць виводу користувацьких даних
RATE-007
СЕРЕДНІЙ
Відсутність обмеження частоти запитів на API
API-ендпоінт для зміни пароля не має обмежень на кількість запитів.
Оточення: Продакшн, API-ендпоінт /api/v1/password-reset
Кроки відтворення:
- Відправити запит на зміну пароля
- Повторити запит 100+ разів за хвилину
- Перевірити відповіді сервера
Фактичний результат: Всі запити обробляються, можливий перебор токенів
Очікуваний результат: Після 5 невдалих спроб — тимчасове блокування
Рекомендації:
- Додати rate limiting (5 запитів на хвилину)
- Впровадити exponential backoff
- Логувати підозрілу активність
UPLOAD-012
ВИСОКИЙ
Завантаження виконуваних файлів
Форма завантаження аватару приймає будь-які типи файлів включно з .exe та .php.
Оточення: Продакшн, профіль користувача, завантаження аватару
Кроки відтворення:
- Відкрити налаштування профілю
- Вибрати файл shell.php замість зображення
- Завантажити файл
Фактичний результат: Файл завантажується і доступний за прямим посиланням
Очікуваний результат: Помилка валідації — тільки зображення дозволені
Рекомендації:
- Валідувати MIME-тип і розширення файлу
- Перевіряти magic bytes файлу
- Зберігати файли поза web-root з перейменуванням
PAY-014
КРИТИЧНИЙ
Повторне списання після повторної оплати
Якщо користувач повторно натискає оплату після довгої відповіді провайдера, створюються два успішні списання для одного замовлення.
Оточення: Продакшн, checkout, Stripe fallback flow
Кроки відтворення:
- Оформити замовлення з банківською карткою
- Дочекатися затримки відповіді платіжного провайдера
- Повторно натиснути кнопку "Оплатити"
Фактичний результат: Створюються два успішні платежі та дубльований webhook
Очікуваний результат: Повторне натискання блокується, платіж обробляється один раз
Рекомендації:
- Додати idempotency key для кожного платіжного запиту
- Блокувати кнопку після першого кліку до відповіді провайдера
- Окремо логувати дубльовані webhooks і reconciliation case
PAY-029
СЕРЕДНІЙ
Некоректне округлення суми при частковій оплаті
При частковій оплаті з бонусами підсумкова сума в checkout відрізняється від суми, яка передається в платіжний провайдер.
Оточення: Продакшн, бонусний баланс, часткова оплата карткою
Кроки відтворення:
- Додати товар з копійками до кошика
- Застосувати бонусний баланс на частину суми
- Перейти до підтвердження оплати карткою
Фактичний результат: На сторінці показано одну суму, а у провайдера формується інша
Очікуваний результат: Сума в UI, backend і провайдера повністю збігається
Рекомендації:
- Уніфікувати правила округлення між клієнтською і серверною частинами
- Працювати з мінімальними грошовими одиницями замість чисел з плаваючою комою
- Додати автотести для бонусних і змішаних оплат
AN-031
ВИСОКИЙ
Подія повернення не потрапляє в аналітику
Після успішного refund в адмін-панелі подія повернення не потрапляє ні в GA4, ні у внутрішній фінансовий дашборд.
Оточення: Продакшн, адмін-панель, refund workflow
Кроки відтворення:
- Відкрити оплачений order в адмін-панелі
- Виконати часткове або повне повернення
- Перевірити аналітичні події та BI-дашборд
Фактичний результат: Refund завершено, але подія про повернення не відправляється
Очікуваний результат: Аналітика оновлюється одразу після успішного refund
Рекомендації:
- Відправляти окрему refund event після підтвердження backend статусу
- Додати моніторинг розриву між orders і refunds в аналітиці
- Покрити refund flow окремим regression сценарієм
AN-044
СЕРЕДНІЙ
Втрата UTM-міток після входу в акаунт
Після логіну користувача атрибуція кампанії скидається, і замовлення потрапляють у звітність як direct / none.
Оточення: Продакшн, multi-step login перед checkout
Кроки відтворення:
- Відкрити лендинг з UTM-мітками
- Перейти до товару та увійти в акаунт
- Завершити checkout і перевірити source / medium
Фактичний результат: Замовлення реєструється як direct / none без кампанії
Очікуваний результат: Початкові UTM-мітки зберігаються до завершення покупки
Рекомендації:
- Зберігати attribution state у sessionStorage або server session
- Не перезаписувати source після auth redirect
- Додати перевірки для login-to-checkout funnel
Інтерактивне Демо
Демо запуску автотестів
Подивіться, як виглядає запуск демо-набору автотестів: зі статусами, сигналами ризику, підсумком і переходом до прикладу реального QA-звіту.
Що це показує: типовий сценарій перевірки оформлення замовлення зі статусами проходження, попередженнями та сигналами, що допомагають не випустити ризиковий реліз.
Перевірки оформлення
~3.2 с симульованого запуску
Натисніть кнопку, щоб побачити не лише підсумок, а й приклад конкретних знахідок у звіті
$ qanetix test --suite=checkout
Робочі Тестові Артефакти
Приклади тест-кейсів
Передумови: Акаунт користувача існує, є інтернет
Кроки:
- Відкрити сторінку входу
- Ввести валідний email
- Ввести валідний пароль
- Натиснути кнопку "Увійти"
Очікуваний результат: Редірект на дашборд, сесія створена
Передумови: Каталог товарів завантажений
Кроки:
- Відкрити сторінку товару
- Вибрати розмір/колір якщо потрібно
- Натиснути "Додати до кошика"
- Перевірити оновлення значка кошика
Очікуваний результат: Товар додано, сума оновлена, показано підтвердження
Передумови: Користувач на сторінці скидання пароля
Кроки:
- Ввести неіснуючий email
- Натиснути "Відправити посилання"
- Спостерігати відповідь системи
Очікуваний результат: Показано загальне повідомлення (безпека), лист не відправлено
Передумови: Аналітика увімкнена, спосіб оплати вже збережено
Кроки:
- Відкрити оформлення в один клік
- Успішно завершити оплату
- Перевірити мережеві запити та події аналітики
Очікуваний результат: Подія покупки відправляється один раз із коректною сумою та ID замовлення
Передумови: Користувач має активну адмін-сесію, доступне керування ролями
Кроки:
- Зняти роль адміністратора з користувача в іншій сесії
- Повернутися до поточної адмін-сесії
- Спробувати змінити білінг або ролі інших користувачів
Очікуваний результат: Чутливі дії блокуються одразу після зміни ролі
Передумови: Відкрита довга форма, автозбереження працює з затримкою
Кроки:
- Внести зміни в кілька полів форми
- Не чекати завершення автозбереження
- Спробувати оновити сторінку або перейти на інший розділ
Очікуваний результат: Система попереджає про незбережені зміни й дає шанс залишитися на сторінці
Що Ви Отримаєте
Що ви отримуєте в реальній співпраці
Ці приклади спрощені, але сама структура в реальних проєктах така ж: відтворювані докази, зрозумілі пріоритети, бізнес-вплив і рекомендації, які команда може брати в роботу одразу.
Пріоритезовані знахідки
Кожен баг групується за критичністю та впливом, щоб команда одразу бачила, що блокує реліз, а що можна планувати окремо.
Чіткі кроки відтворення
Оточення, кроки, очікуваний і фактичний результат прибирають неоднозначність і економлять час розробки.
Практичні рекомендації
Ми не зупиняємось на фразі “зламано”, а підказуємо зони ризику, безпечніший шлях виправлення та що перевірити після змін.
Швидкий перший сигнал
У фокусі завжди критичні сценарії, тому перший звіт уже допомагає продукту й розробці приймати рішення.
Потрібен такий самий формат QA-артефактів для вашого продукту?
Покажемо, як може виглядати QA-підтримка саме для вашої команди: з баг-репортами, ретестами, ризиками релізу й зрозумілою структурою звіту.