压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

全球數(shù)字化轉(zhuǎn)型意味著越來(lái)越多的公司企業(yè)需要更快投入更多代碼。但倉(cāng)促而成的代碼意味著代碼可能存在缺陷，而有缺陷的代碼會(huì)導(dǎo)致糟糕的系統(tǒng)、漏洞利用和應(yīng)用不合規(guī)。

受最先將產(chǎn)品投放市場(chǎng)的業(yè)務(wù)壓力驅(qū)動(dòng)而倉(cāng)促編成的代碼，不過(guò)是軟件漏洞引入的三大主要渠道之一。第二大渠道是開源和第三方代碼使用的增多。去年，新思科技對(duì)1,100個(gè)商業(yè)代碼庫(kù)的研究發(fā)現(xiàn)，78%的代碼庫(kù)至少包含一個(gè)開源漏洞。

第三方代碼的危險(xiǎn)可由去年的Ticketmaster的數(shù)據(jù)泄露事件看出端倪。黑客組織Magecart入侵了一家軟件供應(yīng)商Inbenta，往一個(gè)腳本里綁定了惡意軟件。Ticketmaster下載并執(zhí)行了該腳本，然后城門失守。雖然最終損失尚未算出，但至少一家律所已經(jīng)接了客戶對(duì)Ticketmaster不贏不收費(fèi)的索賠訴訟請(qǐng)求。

2019年1月，Hayes Connor Solicitors 律所稱：我們63%的客戶遭受到了多起支付卡欺詐交易。

第三大軟件漏洞引入途徑是經(jīng)由企業(yè)并購(gòu)導(dǎo)入的漏洞。2018年底披露的萬(wàn)豪酒店數(shù)據(jù)泄露事件就是典型案例。萬(wàn)豪于2016年收購(gòu)喜達(dá)屋酒店，但并未對(duì)喜達(dá)屋的系統(tǒng)進(jìn)行安全盡職審查。結(jié)果，喜達(dá)屋的系統(tǒng)早在2014年便已被黑客入侵，但2016年時(shí)問(wèn)題就轉(zhuǎn)移到了萬(wàn)豪，而且直到2018年11月才被發(fā)現(xiàn)。

據(jù)彭博社估算，萬(wàn)豪遭受的總損失高達(dá)10億美元，包括監(jiān)管罰款、法庭相關(guān)費(fèi)用和通告開銷。

有效軟件測(cè)試

無(wú)論漏洞引入途徑是哪條，解決方案都是有效軟件檢測(cè)，但事情總是說(shuō)起來(lái)容易做起來(lái)難。傳統(tǒng)測(cè)試方法無(wú)非這三種：

• 內(nèi)部測(cè)試；
• 臨時(shí)第三方測(cè)試(比如滲透測(cè)試員)；
• 雇傭第三方專業(yè)公司測(cè)試。

小公司適合自行測(cè)試。中小企業(yè)可能會(huì)選擇臨時(shí)第三方測(cè)試。但大中型企業(yè)，尤其是那些跨國(guó)企業(yè)，應(yīng)考慮聘用專業(yè)公司。數(shù)字化轉(zhuǎn)型推動(dòng)了軟件與整體業(yè)務(wù)系統(tǒng)的融合，軟件不再是單獨(dú)的部分，而是整個(gè)系統(tǒng)的基本組成部分。

物聯(lián)網(wǎng)(IoT)是融入的一個(gè)例子。嵌入式系統(tǒng)的指數(shù)級(jí)增長(zhǎng)催生了一系列新問(wèn)題。制造商需不斷檢測(cè)是否符合新監(jiān)管規(guī)定；用戶需測(cè)試設(shè)備的安全性，檢測(cè)控制設(shè)備和與設(shè)備通信的應(yīng)用，測(cè)試設(shè)備所收集數(shù)據(jù)的安全及隱私保護(hù)要求。

以歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)為例，合規(guī)不僅僅是數(shù)據(jù)保護(hù)，還涉及與數(shù)據(jù)收集、存儲(chǔ)、使用、可訪問(wèn)性、可見性、數(shù)據(jù)發(fā)現(xiàn)及清除相關(guān)的業(yè)務(wù)過(guò)程(與軟件不可分離)。

2019年1月，法國(guó)GDPR監(jiān)管者國(guó)家信息與自由委員會(huì)(CNIL)對(duì)谷歌開出5000萬(wàn)歐元罰單。這項(xiàng)處罰中就不涉及數(shù)據(jù)泄露，也沒有代碼漏洞。據(jù)CNIL所說(shuō)，處罰依據(jù)是谷歌存在違反信息透明性義務(wù)的行為：用戶不能方便地訪問(wèn)谷歌提供的信息。

測(cè)試已不再僅僅是查找代碼漏洞，必須納入對(duì)過(guò)程和人員的測(cè)試。需測(cè)試業(yè)務(wù)過(guò)程以規(guī)避合規(guī)誤區(qū)。2019年1月，歐華律師事務(wù)所預(yù)測(cè)：2019年，千萬(wàn)歐元甚至數(shù)億歐元的GDPR罰款會(huì)更多。

員工安全意識(shí)也需要檢測(cè)，這樣才可以有效推進(jìn)工作，避免安全及合規(guī)失誤，業(yè)務(wù)也就能保證安全了。

所以，盡管軟件測(cè)試依然頂著“軟件測(cè)試”的名頭，其實(shí)質(zhì)卻越來(lái)越靠近業(yè)務(wù)測(cè)試。這意味著兩件事：首先，必須由公司高層推動(dòng)——全面軟件測(cè)試需要董事會(huì)的首肯。

其次，雖然理論上所有測(cè)試都可以內(nèi)部完成，但實(shí)際上很多公司企業(yè)都不具備完成現(xiàn)代軟件測(cè)試各個(gè)不同方面所需的人力資源和專業(yè)技能集。

軟件漏洞利用

可從內(nèi)部驅(qū)動(dòng)的一個(gè)部分解決方案，是從瀑布式內(nèi)部應(yīng)用開發(fā)轉(zhuǎn)向敏捷開發(fā)——從采納DevSec原則開始，然后擴(kuò)展到DevSecOps。這可以提升應(yīng)用開發(fā)效率，也是“設(shè)計(jì)安全”原則的一個(gè)重要部分。但盡管DevSecOps(或SecOps)背后的原則相對(duì)容易理解，建立并維護(hù)一個(gè)有效過(guò)程就是另一碼事了——需要專業(yè)技能和持續(xù)監(jiān)管。

持續(xù)監(jiān)管最好由專業(yè)第三方測(cè)試公司實(shí)施，正如全面測(cè)試的整個(gè)概念一樣。Ticketmaster、萬(wàn)豪酒店等眾多數(shù)據(jù)泄露促使安全成為了董事會(huì)會(huì)議主要議題，但Thycoticz于2019年1月做的調(diào)查顯示，高級(jí)管理層并不理解如何將這種重視轉(zhuǎn)換成有意義的行動(dòng)。50%的公司并未在董事會(huì)給CISO留個(gè)席位。

實(shí)現(xiàn)公司范圍的全面測(cè)試，納入內(nèi)部SecOps應(yīng)用開發(fā)、導(dǎo)入代碼、IoT安裝、用戶安全意識(shí)、代碼及實(shí)踐合規(guī)(比如GDPR、CCPA、PCIDSS和金融監(jiān)管)，對(duì)任何董事會(huì)而言都是能力的考驗(yàn)。

而專業(yè)第三方測(cè)試公司可能在所有這些領(lǐng)域都有專業(yè)資源可用，且具備整合的經(jīng)驗(yàn)。專業(yè)公司理解IT/安全員工和業(yè)務(wù)人員所用的不同術(shù)語(yǔ)；能夠從IT/安全人員的工作中產(chǎn)生業(yè)務(wù)人員可用的合適指標(biāo)；還可以執(zhí)行全面測(cè)試，以有意義的方式向高級(jí)管理層展示結(jié)果。