我的員工沒有安全專家。依靠安全測試服務是否有意義?
在員工中缺少安全專家的情況下,你很有可能會從外部的安全測試服務中選擇一家廠商。在內部培養安全技能過於昂貴,也過於費時,並不是乙個理想的選擇。這一技能還要隨著時間的推移不斷提公升。
因為依賴外部合作夥伴可能是唯一可行的選擇,在第三方安全測試服務時主要考慮要素有:
◆了解組織的應用攻擊面
◆解決預算問題
◆了解深入的測試分析
◆決定分析的頻率
應用攻擊表面
首先,了解需要測試的範圍很重要。有一些問題需要安全測試人員回答,如有多少應用需要測試,他們託管在**以及誰開發的他們?專案經理也應該做好準備回答關於風險等級的問題。這些問題包括:哪些應用程式管理著最敏感的資料,哪些負責最有價值的操作,以及哪些代表著最大的風險?這些等級將有助於優化測試活動。沒有回答這些問題,那麼深入的決策很有可能會濫用資源。
預算原始預算可能會嚴格控制在測試專案上。尤其是在沒有內部開發**的小企業中,預算可能是乙個最重要的問題。以預算內對外部廠商進行評估可以用幫助快速縮小領域,尤其是在決定採用深度測試分析時。
深度分析
所有的評估和測試活動並都不是一樣的。當評估第三方法測試服務時,了解具體將要哪類測試很重要。這決定了評估將提供的安全級別的洞察力。
靜態測試在空閒時檢視應用**或二進位製檔。動態測試檢查正在執行的系統,並執行測試來決定的,或試圖決定應用現在的漏洞顯示的行為。如靜態和動態測試這樣的自動分析只依靠工具來努力把**模式或請求與響應配對匹配。
自動分析相對較便宜,但也存在一定的侷限。例如,自動化測試只能識別出一些特定型別的漏洞,而對於確定依賴於應用的業務上下文環境的漏洞有哪些,它卻是無能為力了。除了因為自動分析的侷限性而引入的漏報率外,自動化安全測試嚐嚐可以識別出誤報,這時分析會強調出可能是漏洞,而實際還沒有被利用的。
手動分析比較昂貴,因為它依賴於安全分析師來執行測試。這提高了漏洞型別可識別的概率,所以期望手動測試過濾出誤報是很可行的。然而,複雜的手動測試成本可能會成為阻礙,即使對於有著大量資源的組織來說也是一項負擔。
分析頻率
安全前景一直在變化著,而且最重要的應用程式通常屬於主動開發型別。安全測試並不是一次性行為。
使用外部的測試機構或服務對於不大型組織和小企業都是最常見的策略,只要他們需要引入安全測試功能和技能。但是,確保這些機構能完全理解什麼樣的測試將會按預期執行很重要。另外,了解組織的攻擊層面和應用風險級別有助於確保測試**的分配最優化。
如何衡量軟體的安全可靠性
軟體 的安全可靠性是衡量軟體好壞的乙個重要標準,安全性指與防止對程式及資料的非授權的故意或意外訪問的能力有關的軟體屬性,可靠性指與在規定的一段時間和條件下,軟體能維持其效能 水平能力有關的一組屬性。具體我 們可以從以下幾個方面來判斷 1.使用者許可權限制。軟體是否按功能 模組劃分使用者許可權,許可權...
如何安全可靠的處理後台任務
在越來越多的應用智慧型化,很多後台功能不能及時反饋給使用者,但是又不影響使用者的體驗,大量的任務後台化,由伺服器處理完之後再反饋給使用者。隨著這種功能的廣泛應用,任務到底有沒有執行成為維護的難題,畢竟很多小公司開發和維護是一體的。為了解決這種任務式的難題,特借鑑了張宴的架構思想 輕量級開源簡單佇列服...
如何找到自動化測試的思路
要找到 自動化測試 的思路,首先得明確自動化測試的本質。對自動化測試的本質的理解不同,導致了在進行自動化測試過程中對於組建團隊 制定目標計畫等的不同,決定了最終自動化測試的實施和效果的不同。所以必須先把自動化測試的本質說明白。談本質的問題,每個人的理解是不盡相同的。咱們這裡說的自動化測試的本質,主要...