1.概要
有許多不同類型的安全評(píng)估鱼冀,并不總是容易在我們的頭腦清晰的表現(xiàn)出來
以下是對(duì)安全評(píng)估的主要類型的簡要描述垮耳,以及常見混淆評(píng)估的區(qū)別优训。
2.安全評(píng)估類型
2.1脆弱性評(píng)估:
脆弱性評(píng)估是一種旨在環(huán)境中產(chǎn)生盡可能多的漏洞的技術(shù)評(píng)估(威脅區(qū)別于風(fēng)險(xiǎn),威脅是會(huì)造成損害崭添,風(fēng)險(xiǎn)不一定會(huì)造成但是存在和脆弱性類似,因?yàn)椴灰欢〞?huì)發(fā)生)叛氨,以及嚴(yán)重性和補(bǔ)救優(yōu)先級(jí)信息呼渣。
通常混淆:漏洞評(píng)估是最經(jīng)常與滲透測試被混淆(或者混為一談)寞埠。這主要是因?yàn)槭矍罢J(rèn)為后者聽起來更c(diǎn)ool徙邻,上帝保佑。
最佳使用時(shí)間:當(dāng)安全度低至中等時(shí)畸裳,同時(shí)您需要優(yōu)先列出所有錯(cuò)誤的列表時(shí)缰犁,此時(shí)漏洞評(píng)估最適用,目標(biāo)是盡可能高效地修復(fù)盡可能多的威脅/漏洞怖糊。
2.2滲透測試:
滲透測試是旨在實(shí)現(xiàn)特定目標(biāo)的技術(shù)評(píng)估帅容,例如竊取客戶數(shù)據(jù),獲取域管理員帳號(hào)或修改敏感的薪資信息伍伤。
當(dāng)然并徘,滲透測試是最經(jīng)常與脆弱性評(píng)估被混淆(或混為一談)。究其原因是因?yàn)榱硪环N方法是將漏洞評(píng)估視為在知道/假設(shè)存在的情況下尋找安全問題扰魂,同時(shí)并將滲透測試視為驗(yàn)證配置麦乞,直到您認(rèn)為它是安全的。
最佳使用時(shí)間:由于滲透測試旨在實(shí)現(xiàn)一個(gè)或多個(gè)具體目標(biāo)的安全評(píng)估劝评,因此在大多數(shù)情況下不應(yīng)由低級(jí)或中級(jí)安全機(jī)構(gòu)委托姐直。對(duì)低或中等安全性企業(yè)進(jìn)行滲透測試我更推薦一整套的安全流程,如“實(shí)施整個(gè)組織的安全修補(bǔ)”蒋畜,“禁用不活動(dòng)的用戶”声畏,和我最喜歡的一個(gè):“了解你的敏感數(shù)據(jù)“,而不要浪費(fèi)金錢進(jìn)行滲透測試,除非您已經(jīng)進(jìn)行了一個(gè)或十幾個(gè)漏洞評(píng)估插龄,然后修復(fù)了發(fā)現(xiàn)的一切愿棋。滲透測試用于在已經(jīng)修復(fù)一定漏洞并不知道隱藏的威脅情況下進(jìn)行的安全評(píng)估測試。
2.3紅隊(duì)評(píng)估:
紅隊(duì)“評(píng)估”在企業(yè)背景中是一個(gè)誤導(dǎo)均牢,因?yàn)楣炯t隊(duì)服務(wù)理想情況下應(yīng)該是持續(xù)而不是短暫的糠雨。因此,理想情況下徘跪,紅隊(duì)評(píng)估比評(píng)估更適合服務(wù)(紅隊(duì)服務(wù))见秤。但不管這個(gè)區(qū)別,如果企業(yè)紅隊(duì)的中心目標(biāo)是提高企業(yè)信息安全防御的質(zhì)量真椿,如果存在這種情況鹃答,那么這個(gè)防御是公司的藍(lán)隊(duì)。事實(shí)上突硝,這是一個(gè)小寫的“紅隊(duì)”:一個(gè)獨(dú)立的組織测摔,挑戰(zhàn)一個(gè)組織來提高其有效性。在公司紅隊(duì)的情況下解恰,他們正在改進(jìn)的組織是藍(lán)隊(duì)锋八。
在我看來,紅隊(duì)服務(wù)應(yīng)該總是有以下五個(gè)要素:組織獨(dú)立护盈,防守協(xié)調(diào)挟纱,持續(xù)運(yùn)作,對(duì)手仿真和功效測量腐宋。
通澄煞混淆:紅隊(duì)服務(wù)最常見的是與滲透測試混淆。銷售和營銷團(tuán)體幾乎會(huì)互換使用這些術(shù)語胸竞,以及許多內(nèi)部安全組欺嗤。令人困惑的人們基本上看到“紅隊(duì)”是一種精英更精英的滲透測試。紅隊(duì)評(píng)估和滲透測試評(píng)估是不一樣的卫枝,滲透測試是在一個(gè)定義的范圍和時(shí)間點(diǎn)評(píng)估煎饼,具有測試成功或失敗的具體目標(biāo)。而企業(yè)紅隊(duì)(無論是內(nèi)部還是外部)是持續(xù)的服務(wù)校赤,模仿真實(shí)的攻擊者吆玖,以改善藍(lán)隊(duì)。他們有時(shí)可能會(huì)分享TiPs马篮,但目的卻有很大不同沾乘。
最佳使用時(shí)間:當(dāng)組織涵蓋了強(qiáng)有力的漏洞管理的基礎(chǔ)知識(shí)時(shí),此時(shí)最好使用紅隊(duì)服務(wù)/紅隊(duì)評(píng)估积蔚,并且至少有一些檢測和響應(yīng)環(huán)境存在惡意或可疑行為的能力意鲸。如果一個(gè)組織仍然在努力進(jìn)行基本的資產(chǎn)管理,修補(bǔ)尽爆,網(wǎng)絡(luò)出口管理等基礎(chǔ)怎顾,通常最好在聘用或建立“紅隊(duì)”之前解決基礎(chǔ)的安全問題。紅隊(duì)一般評(píng)估和測試的是已經(jīng)形成的漱贱,成熟的業(yè)務(wù)結(jié)構(gòu)槐雾,而不是尋找不成熟或者剛開始搭建的環(huán)境中的問題。同時(shí)如果你沒有藍(lán)隊(duì)幅狮,你可能不需要紅隊(duì)募强。(具體情況具體運(yùn)用)
2.4審計(jì):
審計(jì)可以是技術(shù)/或者基于文檔的,并且重點(diǎn)關(guān)注現(xiàn)有的配置崇摄,以及如何與期望的標(biāo)準(zhǔn)進(jìn)行比較擎值。這是重要的一點(diǎn)。它不需要證明或驗(yàn)證安全性;它驗(yàn)證了對(duì)于已有安全手段的既定視角的一致性逐抑。這兩件事情不應(yīng)該混淆鸠儿。
通常混淆:審計(jì)往往與幾乎所有其他類型其目的是要找到漏洞并修復(fù)它們的安全評(píng)估混淆厕氨。如果有一個(gè)項(xiàng)目在標(biāo)準(zhǔn)說您不應(yīng)該有漏洞进每,但是關(guān)鍵屬性是將當(dāng)前狀態(tài)對(duì)應(yīng)到任意評(píng)估標(biāo)準(zhǔn),這可能是審計(jì)的一部分
最佳使用時(shí)間:組織通過審核來證明業(yè)務(wù)合規(guī)性命斧。但重要的是田晚,不應(yīng)使用合規(guī)性來證明安全性。在已經(jīng)檢查的情況下国葬,安全組織顯然更有可能遵守合規(guī)要求贤徒,但符合合規(guī)性的組織不應(yīng)該緊緊因?yàn)榉蠘?biāo)準(zhǔn)X或Y而覺得業(yè)務(wù)符合安全性,也就是說合規(guī)性≠安全性汇四。
2.5白/灰/黑盒測試:
白/灰/黑測試說明用于指示測試人員在給定的技術(shù)測試中需要獲得多少內(nèi)部信息泞莉。測試等級(jí)的意思是將光線映射到內(nèi)部的透明度:白,灰船殉,黑鲫趁,因此白盒測試是測試人員可以完全訪問所有可用內(nèi)部信息的地方,如網(wǎng)絡(luò)圖利虫,源代碼等挨厚。灰盒測試是下一個(gè)不透明度水平這意味著測試者有一些信息,但并不是全部糠惫。一個(gè)黑盒測試–你只能猜測這是一個(gè)測試疫剃,測試者對(duì)于環(huán)境的內(nèi)部知識(shí)為零,即從攻擊者的角度來進(jìn)行測試硼讽。
常吵布郏混淆:圍繞白/灰/黑盒命名的最大的混亂來源是:人們并沒有意識(shí)到它們并不是真正的測試類型,而只是一個(gè)方面,一個(gè)范圍壤躲。它們最常用于脆弱性評(píng)估城菊,您可能希望找到可能出現(xiàn)的最多問題,并為打開掩藏的威脅和風(fēng)險(xiǎn)提供重要?jiǎng)恿Φ锟恕U?qǐng)記住凌唬,漏洞評(píng)估的目標(biāo)是盡可能多地找到問題,因此隱藏來自測試人員的內(nèi)部信息漏麦,使他們無法找到問題客税,并不會(huì)傷害到風(fēng)險(xiǎn)和威脅它們–但它會(huì)傷害您。不要混淆:攻擊者想知道什么撕贞,可以看什么/和攻擊者想做什么更耻,存在什么問題。這是兩件事情捏膨,需要單獨(dú)處理秧均。如果你想知道攻擊者能做什么。
最佳使用時(shí)間:白盒測試最適用于漏洞評(píng)估脊奋,因?yàn)槟MM可能多地找到問題熬北,無論測試人員如何發(fā)現(xiàn)它們。當(dāng)人們對(duì)滲透測試和漏洞評(píng)估之間的區(qū)別感到困惑時(shí)诚隙,通常會(huì)使用灰盒測試讶隐。他們想提供一些信息,但不是全部久又。讓我們清楚一點(diǎn):如果你想找到所有的問題巫延,你不應(yīng)該保留測試人員的信息。但是地消,如果您正在進(jìn)行滲透測試炉峰,您不能給測試人員任何內(nèi)容,那么這是一個(gè)黑盒測試脉执。在你的腦海里保持清晰的界限疼阔,你會(huì)沒事的。
2.6風(fēng)險(xiǎn)評(píng)估:
風(fēng)險(xiǎn)評(píng)估半夷,類似于威脅模型婆廊,對(duì)于區(qū)分兩者邊界有兩個(gè)比較模糊的方面:如何理解和如何進(jìn)行。在最高級(jí)別巫橄,風(fēng)險(xiǎn)評(píng)估應(yīng)包括確定當(dāng)前可接受的風(fēng)險(xiǎn)水平淘邻,同時(shí)衡量當(dāng)前風(fēng)險(xiǎn)水平,然后確定將兩者進(jìn)行比較分析可以做些什么湘换。風(fēng)險(xiǎn)評(píng)估通常涉及風(fēng)險(xiǎn)評(píng)估的兩個(gè)維度:概率和影響宾舅,以及使用定量和定性模型统阿。在許多方面,風(fēng)險(xiǎn)評(píng)估和威脅建模都是類似的練習(xí)筹我,因?yàn)槊總€(gè)人的目標(biāo)是確定一個(gè)直截了當(dāng)?shù)男袆?dòng)扶平,將風(fēng)險(xiǎn)降低到可接受的水平。
通称槔#混淆:風(fēng)險(xiǎn)評(píng)估通常與威脅評(píng)估混淆蜻直,因?yàn)槎叨际亲非笙嗨频哪繕?biāo)盯质。主要區(qū)別在于評(píng)估開始的地方以及他們的重點(diǎn)袁串。威脅模型側(cè)重于攻擊場景,然后重心轉(zhuǎn)移到中間層呼巷,威脅囱修,遠(yuǎn)程控制和潛在的影響。風(fēng)險(xiǎn)評(píng)估通常從資產(chǎn)方面開始王悍,評(píng)估資產(chǎn)的價(jià)值和風(fēng)險(xiǎn)破镰,以及潛在的威脅,事件發(fā)生的損失概率压储,損失的影響等鲜漩。
最佳使用時(shí)間:風(fēng)險(xiǎn)評(píng)估應(yīng)被視為一個(gè)總結(jié),用于確定您的資產(chǎn)有什么價(jià)值集惋,資產(chǎn)如何受到攻擊孕似,如果這些攻擊成功,您將會(huì)失去什么(造成什么樣的影響)刮刑,以及應(yīng)該如何處理這些問題(應(yīng)急響應(yīng))喉祭。重要的是,當(dāng)有人說他們要做一個(gè)風(fēng)險(xiǎn)評(píng)估雷绢,你深入了解什么是什么意思泛烙,即使用的是什么方法,什么模型翘紊,什么工具等等蔽氨。
2.7威脅評(píng)估:
威脅評(píng)估是一種與其他提到的安全審查有些不同的安全評(píng)估。一般來說帆疟,它比技術(shù)更多地涉及物理攻擊鹉究,但線條模糊。威脅評(píng)估的主要重點(diǎn)是確定是否可靠地威脅(認(rèn)為是炸彈威脅或暴力威脅)鸯匹,或者是以其他方式被發(fā)現(xiàn)的威脅坊饶。評(píng)估的驅(qū)動(dòng)因素是確定應(yīng)該花費(fèi)多少資源(如果有的話)來解決有關(guān)問題。
常撑古睿混淆:“威脅”一詞在安全性中被多種使用匿级,導(dǎo)致了很大的混亂蟋滴。在這種情況下,與“威脅agent”的用法相反痘绎,該術(shù)語用于“威脅”津函,或“確定威脅是否真實(shí)”。起因來自特勤局調(diào)查學(xué)校的暴力行為孤页,挑戰(zhàn)在于確定他們收到的成千上萬的威脅尔苦,他們應(yīng)該以非常有限的資源回應(yīng)。這與許多人在聽到威脅評(píng)估(正在調(diào)查黑客行施,政府等等)的潛在威脅agent的想法形成鮮明的對(duì)比允坚。
最佳使用時(shí)間:威脅評(píng)估最適用于有人在將來發(fā)生攻擊的情況下,或者這種潛力被揭開蛾号。在這種情況下稠项,目標(biāo)是了解情況是否值得花費(fèi)資源來解決。
2.8威脅建模:
威脅建模對(duì)于大多數(shù)組織而言鲜结,并不是一種很好理解的安全評(píng)估類型展运,部分問題對(duì)許多不同的人來說意味著許多不同的事情。在最基本的層面上精刷,威脅建模是捕獲拗胜,記錄和(通常)可視化威脅代理,漏洞怒允,攻擊埂软,對(duì)策和對(duì)業(yè)務(wù)的影響與特定環(huán)境相關(guān)的過程。顧名思義误算,重點(diǎn)通常是從威脅代理和給定的攻擊情形開始仰美,但隨后的工作流程可以捕獲可能利用的哪些漏洞,可能會(huì)使用的哪些漏洞儿礼,可能存在哪些對(duì)策可以阻止/減少這種攻擊咖杂,以及可能產(chǎn)生的業(yè)務(wù)影響等等,和SDL+風(fēng)險(xiǎn)評(píng)估有點(diǎn)類似
常澄梅颍混淆:威脅建模一般令人困惑诉字。許多混亂來自關(guān)于定義和語義的辯論,因?yàn)橥{建模通常包括圍繞威脅知纷,威脅代理壤圃,漏洞,漏洞利用琅轧,控制伍绳,風(fēng)險(xiǎn)和影響的討論。每一個(gè)都是自己加載的乍桂,當(dāng)你開始嘗試與所有的對(duì)話同時(shí)發(fā)生宗教戰(zhàn)爭時(shí)冲杀。另一個(gè)問題是人們失去了目標(biāo)效床,因?yàn)橛泻芏嘁蛩禺a(chǎn)生。我們?cè)噲D找出漏洞嗎权谁?我們正在嘗試查看中間威脅剩檀?我們是否記錄潛在的業(yè)務(wù)影響?等等旺芽。最好的總結(jié)方法就是說沪猴,最好評(píng)估威脅建模給安全性帶來什么:那就是它顯示攻擊場景
最佳使用時(shí)間:組織應(yīng)該在早期經(jīng)常地使用威脅建模,并且它們應(yīng)該是開發(fā)過程的一部分(SDL)采章。它們是確保已知潛在攻擊場景在實(shí)際上可以通過給定的安全狀態(tài)來處理的一種方式运嗜。威脅模型也可以從純粹的文檔和可見性的角度出色地顯現(xiàn)出來」猜疲看到你潛在的威脅因素洗出,觀察他們可能如何攻擊你的應(yīng)用程序或系統(tǒng)士复,使用什么陰謀和什么漏洞图谷,對(duì)你的組織可能做了什么的往往是一個(gè)清晰的案例。它們對(duì)于顯示非安全性的用戶阱洪,不遵循安全流程的程序和產(chǎn)品尤其有用便贵。
2.9Bug賞金:
Bug賞金是一種技術(shù)安全評(píng)估,利用眾包來查找系統(tǒng)中的漏洞冗荸。中心概念很簡單:無論質(zhì)量如何承璃,安全測試人員都有自己的優(yōu)勢(shì),弱點(diǎn)蚌本,經(jīng)驗(yàn)盔粹,偏見和偏好,這些結(jié)合在不同的人測試時(shí)為同一系統(tǒng)產(chǎn)生不同的發(fā)現(xiàn)程癌。換句話說舷嗡,您可以為100位經(jīng)驗(yàn)豐富的安全測試人員提供完全相同的測試方法,并且可能會(huì)發(fā)現(xiàn)廣泛不同的漏洞嵌莉。bug賞金的概念是涵蓋這種差異进萄,而不是通過在單個(gè)評(píng)估中利用多個(gè)測試人員來對(duì)付它。
常見的困惑:bug獎(jiǎng)勵(lì)是進(jìn)行技術(shù)安全測試的一種比較新的方法锐峭,和是否應(yīng)該進(jìn)行安全測試中鼠,還有一些混淆。我認(rèn)為最好的答案是沿癞,bug賞金應(yīng)該被認(rèn)為是一個(gè)漏洞評(píng)估援雇,其目標(biāo)是盡可能多地尋找許多問題來進(jìn)行修復(fù),但是被認(rèn)為是滲透測試椎扬,您應(yīng)該首先進(jìn)行經(jīng)典的脆弱性評(píng)估惫搏。這樣做的原因是bug獎(jiǎng)勵(lì)使用了許多人曙旭,擅長尋找不尋常的問題,不僅僅是運(yùn)用自動(dòng)化和單一測試者評(píng)估可以發(fā)現(xiàn)常見的問題晶府。
最佳使用時(shí)間:當(dāng)您已經(jīng)執(zhí)行了一個(gè)或多個(gè)標(biāo)準(zhǔn)漏洞評(píng)估(應(yīng)包括自動(dòng)化和手動(dòng)測試))桂躏,然后修復(fù)了發(fā)現(xiàn)的所有內(nèi)容時(shí),最好再使用bug獎(jiǎng)勵(lì)川陆。將它們考慮進(jìn)經(jīng)典脆弱性評(píng)估和滲透測試之間的可選步驟剂习,如上所述,它不是尋求所有安全問題较沪,而是確認(rèn)安全狀態(tài)是否是通過實(shí)現(xiàn)特定目標(biāo)而所需要的狀態(tài)鳞绕。
3.最經(jīng)常混淆
以下是考慮這些評(píng)估類型時(shí)最常見的錯(cuò)誤尸曼。
1.如果您對(duì)自己的安全狀態(tài)不確定们何,并且已經(jīng)知道安全狀態(tài)不穩(wěn)固,那么您應(yīng)該進(jìn)行脆弱性評(píng)估-而不是滲透測試控轿。滲透測試用于測試您想了解的業(yè)務(wù)指定區(qū)域的狀態(tài)冤竹。
2.思考Bug賞金的最佳方式是增強(qiáng)漏洞評(píng)估的發(fā)現(xiàn)階段。脆弱性評(píng)估有兩件事:發(fā)現(xiàn)(盡可能多地找到問題)和優(yōu)先級(jí)排序(首先要排列什么)茬射。第一部分的Bug賞金很棒鹦蠕,第二部分不好使用。因此在抛,當(dāng)您已經(jīng)完成多次漏洞評(píng)估并且已經(jīng)找到了簡單的東西時(shí)钟病,它們最適合使用。Bug Bounties擅長尋找使用其他方法找不到的問題刚梭。
3.由于市場營銷和銷售推動(dòng)了信息產(chǎn)業(yè)的發(fā)展肠阱,人們不斷凝聚紅色團(tuán)隊(duì)和滲透測試。因?yàn)榧t隊(duì)是為了模仿對(duì)手朴读,所以他們一般只有在持續(xù)運(yùn)行的情況下才能工作屹徘,理想情況下永久地運(yùn)行。所以磨德,如果你有一些公司提供了兩周的“紅隊(duì)”參與缘回,這可能更好地被描述為滲透測試。因此典挑,主要的區(qū)別是真實(shí)世界的攻擊者的模仿酥宴,包括他們的韌性,持續(xù)的攻擊時(shí)間您觉,TTP的復(fù)雜程度等拙寡。缺乏這些要素的評(píng)估是滲透測試,而不是紅隊(duì)的參與琳水。紅隊(duì)評(píng)估和威脅模型更偏向于長遠(yuǎn)安全保障肆糕。
4.總結(jié)
簡而言之:
脆弱性評(píng)估的目的是找到盡可能多的漏洞般堆,以便優(yōu)先處理補(bǔ)救措施。輸出是問題優(yōu)先級(jí)的列表诚啃。
滲透測試旨在確定攻擊者是否可以在面對(duì)您當(dāng)前的安全狀態(tài)時(shí)達(dá)到特定目標(biāo)淮摔,例如竊取敏感數(shù)據(jù)或其他會(huì)對(duì)組織造成傷害的活動(dòng)。產(chǎn)出是一份報(bào)告始赎,說明目標(biāo)是否實(shí)現(xiàn)和橙,以及可能在過程中所做的任何其他觀察。滲透測試沒有提供完整的漏洞列表(漏洞不可能全部都發(fā)現(xiàn))造垛,或者確定了所發(fā)現(xiàn)的任何優(yōu)先級(jí)(有高中低之分);
紅隊(duì)旨在不斷有效地效仿現(xiàn)實(shí)攻擊組織魔招,以提高企業(yè)其防御能力。紅隊(duì)持續(xù)運(yùn)作五辽,具有接近全面和非常有限的限制办斑,并不斷發(fā)展他們的方法來匹配/或超出組織的實(shí)際攻擊者的能力。
審計(jì)旨在確定給定組織對(duì)某一標(biāo)準(zhǔn)的措施杆逗。審計(jì)通常不直接測試安全性乡翅,而是測試是否符合標(biāo)準(zhǔn)。被測試的標(biāo)準(zhǔn)可能與實(shí)際安全性有很強(qiáng)或弱的聯(lián)系髓迎,不應(yīng)與脆弱性評(píng)估或滲透測試混淆峦朗。審計(jì)的輸出是為了實(shí)現(xiàn)合規(guī)性而必須修正的領(lǐng)域的列表。
白/灰/黑盒評(píng)估是評(píng)估期間向安全測試機(jī)構(gòu)提供多少信息的度量排龄。這些可以是內(nèi)部的,外部的翎朱,基于應(yīng)用的橄维,基于網(wǎng)絡(luò)的,有或沒有削減等拴曲。盒測試評(píng)估的唯一考慮是與測試方共享的信息量争舞。
風(fēng)險(xiǎn)評(píng)估用于確定給定組織面臨的最重要風(fēng)險(xiǎn),以確保將其納入業(yè)務(wù)可接受的水平澈灼。他們可以采取多種形式竞川,但產(chǎn)出始終是優(yōu)先考慮的風(fēng)險(xiǎn)列表,然后是建議叁熔。
威脅評(píng)估用于確定給定的威脅(通常但不一定是物理性質(zhì))是否值得花費(fèi)有限的資源委乌。產(chǎn)出通常是一個(gè)建議,如果有的話-應(yīng)該致力于這個(gè)問題的修改荣回。
威脅模型用于確定與給定系統(tǒng)相關(guān)的各種威脅遭贸,威脅情境,威脅人員心软,漏洞壕吹,著蛙,控制和影響。它們理想情況是在創(chuàng)造和開發(fā)過程中早期進(jìn)行耳贬,并且在重大變化之后也可以重復(fù)進(jìn)行踏堡。產(chǎn)出通常包括上述各項(xiàng)的文件,以及考慮到控制后的剩余風(fēng)險(xiǎn)咒劲,以及改進(jìn)建議暂吉。
Bug獎(jiǎng)勵(lì)是利用眾包來發(fā)現(xiàn)系統(tǒng)中的漏洞的項(xiàng)目。它們是漏洞評(píng)估工具箱中的工具和手段缎患。參與賞金的人所使用的技術(shù)可能會(huì)有很大差異慕的,正在測試的系統(tǒng)類型也會(huì)有所不同。重要的是挤渔,而不是內(nèi)部團(tuán)隊(duì)肮街,或一組特定的合同雇員從事這項(xiàng)工作,或者是一大批獨(dú)立研究人員判导,他們都將自己的觀點(diǎn)納入測試中嫉父。
創(chuàng)建日期:2015年3月|更新:2017年3月
