【甲午年正月初三】我们公司的安全测试的那些事

 

我们公司做的软件，对安全性要求还是很高的，软件能接触到很多政府机密信息。

要求是要求，但实际开发过程中，原先并没有强制性的限定，虽然公司也有很多的安全性、保密性方面的要求，但是大家并没有很好的执行。

公司的网络很早就断开了，研发中心是一个独立的局域内网，如果需要上外网，需要去专门的机器才可以。

但是个人对这个是很不以为然的，是的，大家无法上网，但是开发人员用的基本都是笔记本（前面的文章说了，都在外面开发，所以几乎都是笔记本），想上网直接拎着去网吧（公司上网地方的内部称呼），而且因为局域网的缘故，无法升级系统、杀毒软件等内容，其实局域网内到处是病毒，我的资料就被毁灭过很多次（测试不需要出差，都是很老旧的台式机，我个人还是喜欢台式机，屏幕大啊，公司的笔记本让我扔家里当备机了），即使现在，只要新建一个共享目录，立刻就有setup.exe的病毒文件出现。

公司近期重新对安全有了重视，原因很简单，作为华为的外包商，华为对此有要求。

公司的产品，和华为有了一些合作，主要做华为的外包。华为一向是很重视安全的，对安全有自己的要求，比如公司必须有安全体系，要达到iso27000安全标准，分开说吧。

去年华为来了一个安全主管方面的领导，给我们讲了2天课，协助公司建立安全研发体系。这个主要是针对软件安全来说的，就是通过开发安全标准、安全测试等内容，提供给华为的内容，不能有安全问题，包含病毒、木马、漏洞等内容。这个安全主要是技术相关的，比如需要制定安全编码规范，安全测试流程，漏洞通报流程等。因为要做安全性测试，所以个人还是找了很多的安全测试软件，也大概了解了一些安全测试的原理，实际也做了一个旧项目的安全性测试，但是实际效果并不算太好，开发人员还是有很多的抵触情绪的，比如我这里提供了安全漏洞，开发方面不知道应该如何修改，让我举例说明危害，实际我也并不很清楚，理论当然能说得通，但应用到具体的事例里面，还是有些模糊，这个还需要慢慢磨合的吧，在我看来，即使这个事将来能做起来，也可能以应付的形式居多。

除了产品安全，还有信息安全。这个就可以按照ISO27000的要求做。公司请了讲师讲了3天的ISO27000，理论和流程知道，但实际如何做，还是有些糊涂。

比如资产，测试的资产是什么，除了硬件、软件、人以外，测试只有测试计划、测试用例、缺陷单、测试总结等文档产出。这个可以归结为测试的资产，但是分析资产安全风险的时候，我个人从心里却不认为这些资产有什么重要的。

其实我个人来说，因为每天都在网上闲逛的缘故，信奉的是开源自由，比如代码，我的信仰偏向于内部公开，当然了，公司一直是封闭原则，svn每个人只能看到自己的部分。对于测试文档我的看法也是全部公开，欢迎任何一个公司内部的人员复制、下载、查看。如果不是公司的限制，我甚至不吝于公开开放。知识等内容也是，只要我知道的东西，别人感兴趣，我一定会和别人分享讨论。而信息安全的做法都倾向于保密，和个人的理想是背道而驰的。

当然了，商业就是这样，并不以人的意志为转移，而且如果我是老板，也许看法也会倾向保密。其实我认为，核心资产外的部分，让大家了解能更好。

安全方面的内容大概就是这些了。还有一篇，说说测试质量目标。