【甲午年正月初三】我们公司的安全测试的那些事
我们公司做的软件,对安全性要求还是很高的,软件能接触到很多政府机密信息。
要求是要求,但实际开发过程中,原先并没有强制性的限定,虽然公司也有很多的安全性、保密性方面的要求,但是大家并没有很好的执行。
公司的网络很早就断开了,研发中心是一个独立的局域内网,如果需要上外网,需要去专门的机器才可以。
但是个人对这个是很不以为然的,是的,大家无法上网,但是开发人员用的基本都是笔记本(前面的文章说了,都在外面开发,所以几乎都是笔记本),想上网直接拎着去网吧(公司上网地方的内部称呼),而且因为局域网的缘故,无法升级系统、杀毒软件等内容,其实局域网内到处是病毒,我的资料就被毁灭过很多次(测试不需要出差,都是很老旧的台式机,我个人还是喜欢台式机,屏幕大啊,公司的笔记本让我扔家里当备机了),即使现在,只要新建一个共享目录,立刻就有setup.exe的病毒文件出现。
公司近期重新对安全有了重视,原因很简单,作为华为的外包商,华为对此有要求。
公司的产品,和华为有了一些合作,主要做华为的外包。华为一向是很重视安全的,对安全有自己的要求,比如公司必须有安全体系,要达到iso27000安全标准,分开说吧。
去年华为来了一个安全主管方面的领导,给我们讲了2天课,协助公司建立安全研发体系。这个主要是针对软件安全来说的,就是通过开发安全标准、安全测试等内容,提供给华为的内容,不能有安全问题,包含病毒、木马、漏洞等内容。这个安全主要是技术相关的,比如需要制定安全编码规范,安全测试流程,漏洞通报流程等。因为要做安全性测试,所以个人还是找了很多的安全测试软件,也大概了解了一些安全测试的原理,实际也做了一个旧项目的安全性测试,但是实际效果并不算太好,开发人员还是有很多的抵触情绪的,比如我这里提供了安全漏洞,开发方面不知道应该如何修改,让我举例说明危害,实际我也并不很清楚,理论当然能说得通,但应用到具体的事例里面,还是有些模糊,这个还需要慢慢磨合的吧,在我看来,即使这个事将来能做起来,也可能以应付的形式居多。
除了产品安全,还有信息安全。这个就可以按照ISO27000的要求做。公司请了讲师讲了3天的ISO27000,理论和流程知道,但实际如何做,还是有些糊涂。
比如资产,测试的资产是什么,除了硬件、软件、人以外,测试只有测试计划、测试用例、缺陷单、测试总结等文档产出。这个可以归结为测试的资产,但是分析资产安全风险的时候,我个人从心里却不认为这些资产有什么重要的。
其实我个人来说,因为每天都在网上闲逛的缘故,信奉的是开源自由,比如代码,我的信仰偏向于内部公开,当然了,公司一直是封闭原则,svn每个人只能看到自己的部分。对于测试文档我的看法也是全部公开,欢迎任何一个公司内部的人员复制、下载、查看。如果不是公司的限制,我甚至不吝于公开开放。知识等内容也是,只要我知道的东西,别人感兴趣,我一定会和别人分享讨论。而信息安全的做法都倾向于保密,和个人的理想是背道而驰的。
当然了,商业就是这样,并不以人的意志为转移,而且如果我是老板,也许看法也会倾向保密。其实我认为,核心资产外的部分,让大家了解能更好。
安全方面的内容大概就是这些了。还有一篇,说说测试质量目标。