全球數(shù)字化轉(zhuǎn)型意味著越來越多的公司企業(yè)需要更快投入更多代碼奏瞬。但倉促而成的代碼意味著代碼可能存在缺陷,而有缺陷的代碼會導(dǎo)致糟糕的系統(tǒng)泉孩、漏洞利用和應(yīng)用不合規(guī)硼端。因此軟件測試行業(yè)再次凸顯其重要性,以及以后前景寓搬。
先將產(chǎn)品投放市場的業(yè)務(wù)壓力驅(qū)動而倉促編成的代碼珍昨,不過是軟件漏洞引入的三大主要渠道之一。第二大渠道是開源和第三方代碼使用的增多句喷。去年镣典,新思科技對1,100個商業(yè)代碼庫的研究發(fā)現(xiàn),78%的代碼庫至少包含一個開源漏洞唾琼。
第三方代碼的危險可由去年的Ticketmaster的數(shù)據(jù)泄露事件看出端倪兄春。黑客組織Magecart入侵了一家軟件供應(yīng)商Inbenta,往一個腳本里綁定了惡意軟件锡溯。Ticketmaster下載并執(zhí)行了該腳本赶舆,然后城門失守。雖然最終損失尚未算出祭饭,但至少一家律所已經(jīng)接了客戶對Ticketmaster不贏不收費(fèi)的索賠訴訟請求芜茵。
2019年1月,Hayes Connor Solicitors 律所稱:我們63%的客戶遭受到了多起支付卡欺詐交易倡蝙。
第三大軟件漏洞引入途徑是經(jīng)由企業(yè)并購導(dǎo)入的漏洞九串。2018年底披露的萬豪酒店數(shù)據(jù)泄露事件就是典型案例。萬豪于2016年收購喜達(dá)屋酒店,但并未對喜達(dá)屋的系統(tǒng)進(jìn)行安全盡職審查猪钮。結(jié)果品山,喜達(dá)屋的系統(tǒng)早在2014年便已被黑客入侵,但2016年時問題就轉(zhuǎn)移到了萬豪烤低,而且直到2018年11月才被發(fā)現(xiàn)肘交。
據(jù)彭博社估算,萬豪遭受的總損失高達(dá)10億美元拂玻,包括監(jiān)管罰款酸些、法庭相關(guān)費(fèi)用和通告開銷。
有效軟件測試
無論漏洞引入途徑是哪條檐蚜,解決方案都是有效軟件檢測魄懂,但事情總是說起來容易做起來難。傳統(tǒng)測試方法無非這三種:
內(nèi)部測試闯第;
臨時第三方測試(比如滲透測試員)市栗;
雇傭第三方專業(yè)公司測試。
小公司適合自行測試咳短。中小企業(yè)可能會選擇臨時第三方測試填帽。但大中型企業(yè),尤其是那些跨國企業(yè)咙好,應(yīng)考慮聘用專業(yè)公司篡腌。數(shù)字化轉(zhuǎn)型推動了軟件與整體業(yè)務(wù)系統(tǒng)的融合,軟件不再是單獨(dú)的部分勾效,而是整個系統(tǒng)的基本組成部分嘹悼。
物聯(lián)網(wǎng)(IoT)是融入的一個例子。嵌入式系統(tǒng)的指數(shù)級增長催生了一系列新問題层宫。制造商需不斷檢測是否符合新監(jiān)管規(guī)定杨伙;用戶需測試設(shè)備的安全性,檢測控制設(shè)備和與設(shè)備通信的應(yīng)用萌腿,測試設(shè)備所收集數(shù)據(jù)的安全及隱私保護(hù)要求限匣。
以歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)為例,合規(guī)不僅僅是數(shù)據(jù)保護(hù)毁菱,還涉及與數(shù)據(jù)收集米死、存儲、使用鼎俘、可訪問性哲身、可見性、數(shù)據(jù)發(fā)現(xiàn)及清除相關(guān)的業(yè)務(wù)過程(與軟件不可分離)贸伐。
2019年1月,法國GDPR監(jiān)管者國家信息與自由委員會(CNIL)對谷歌開出5000萬歐元罰單怔揩。這項處罰中就不涉及數(shù)據(jù)泄露捉邢,也沒有代碼漏洞脯丝。據(jù)CNIL所說,處罰依據(jù)是谷歌存在違反信息透明性義務(wù)的行為:用戶不能方便地訪問谷歌提供的信息伏伐。
測試已不再僅僅是查找代碼漏洞宠进,必須納入對過程和人員的測試。需測試業(yè)務(wù)過程以規(guī)避合規(guī)誤區(qū)藐翎。2019年1月材蹬,歐華律師事務(wù)所預(yù)測:2019年,千萬歐元甚至數(shù)億歐元的GDPR罰款會更多吝镣。
員工安全意識也需要檢測堤器,這樣才可以有效推進(jìn)工作,避免安全及合規(guī)失誤末贾,業(yè)務(wù)也就能保證安全了闸溃。
所以,盡管軟件測試依然頂著“軟件測試”的名頭拱撵,其實質(zhì)卻越來越靠近業(yè)務(wù)測試辉川。這意味著兩件事:首先,必須由公司高層推動——全面軟件測試需要董事會的首肯拴测。
其次乓旗,雖然理論上所有測試都可以內(nèi)部完成,但實際上很多公司企業(yè)都不具備完成現(xiàn)代軟件測試各個不同方面所需的人力資源和專業(yè)技能集集索。
軟件漏洞利用
可從內(nèi)部驅(qū)動的一個部分解決方案屿愚,是從瀑布式內(nèi)部應(yīng)用開發(fā)轉(zhuǎn)向敏捷開發(fā)——從采納DevSec原則開始,然后擴(kuò)展到DevSecOps抄谐。這可以提升應(yīng)用開發(fā)效率渺鹦,也是“設(shè)計安全”原則的一個重要部分。但盡管DevSecOps(或SecOps)背后的原則相對容易理解蛹含,建立并維護(hù)一個有效過程就是另一碼事了——需要專業(yè)技能和持續(xù)監(jiān)管毅厚。
持續(xù)監(jiān)管最好由專業(yè)第三方測試公司實施,正如全面測試的整個概念一樣浦箱。Ticketmaster吸耿、萬豪酒店等眾多數(shù)據(jù)泄露促使安全成為了董事會會議主要議題,但Thycoticz于2019年1月做的調(diào)查顯示酷窥,高級管理層并不理解如何將這種重視轉(zhuǎn)換成有意義的行動咽安。50%的公司并未在董事會給CISO留個席位。
實現(xiàn)公司范圍的全面測試蓬推,納入內(nèi)部SecOps應(yīng)用開發(fā)妆棒、導(dǎo)入代碼、IoT安裝、用戶安全意識糕珊、代碼及實踐合規(guī)(比如GDPR动分、CCPA、PCIDSS和金融監(jiān)管)红选,對任何董事會而言都是能力的考驗澜公。
而專業(yè)第三方測試公司可能在所有這些領(lǐng)域都有專業(yè)資源可用,且具備整合的經(jīng)驗喇肋。專業(yè)公司理解IT/安全員工和業(yè)務(wù)人員所用的不同術(shù)語坟乾;能夠從IT/安全人員的工作中產(chǎn)生業(yè)務(wù)人員可用的合適指標(biāo);還可以執(zhí)行全面測試蝶防,以有意義的方式向高級管理層展示結(jié)果甚侣。
現(xiàn)在檸檬班推出150個常用Linux命令的課程供大家學(xué)習(xí)交流:免費(fèi)學(xué)習(xí)課程地址:http://www.lemonban.com/front/couinfo/188
