• 0
  • 0
分享
  • 从安全测试开始:与杰夫•佩恩的一场面谈
  • 饭团🍙 2020-07-22 13:46:26 字数 4558 阅读 2077 收藏 0

     在这次面谈中,杰夫·佩恩,卡福罗的首席执行官和创办者,谈及了关于软件安全。他讨论物联网和它如何关联到关键性安全的设备,一些有用的工具,测试者如何测试安全,以及设备如何更方便地推动在你生活圈内的流程。

  詹妮弗·博宁:我们更多在虚拟采访中背对着。希望你总是能在将近2小时我们即将讨论到的经常的话题留着。杰夫将开场。杰夫,感谢来到这儿。

  杰夫·佩恩:感谢邀请我。

  詹妮弗·博宁:对那些你不知道的事情杰夫,我过去已经和他谈过几次了。其中的一些事我觉得有趣去对虚拟观众谈论的是你也加入进来的事情。很明显的安全方面的大专家,所以我经常喜欢和您谈论关于安全。

  杰夫·佩恩:当然。

  詹妮弗·博宁:您总是知道那里发生了什么,然后领导发起。

  杰夫·佩恩:对的。

  詹妮弗·博宁:从周一到周四不在这儿的民间笑话,周一-周四是相当长的辅导性会话,你们提供这些中的一部分。昨天和今天是同时进行的会话,都是比较短的会话。你们只能得到很少的信息的片段仅仅是使你对一个主题兴奋的类型,并且你能更深地进入。明天开始的是关于领导人会议。

  杰夫·佩恩:领导人会议。

  詹妮弗·博宁:对于民间来说从没有听说,或者没有参加过,或许只是给他们一些小的在创建领导人会议背后的思维流程引进,它的什么形式因为它是漂亮的形式。

  杰夫·佩恩:它是很棒的形式。它来自于星会上的很多反馈,人们想要更多关于领导,更多关于管理,我怎样作为一个领导者处理自己,我需要领导的我的人民和你需要领导我的老板,对吗?

  詹妮弗·博宁:是的。

  杰夫·佩恩:你需要在所有的方向引导。

  詹妮弗·博宁:确实是。

  杰夫·佩恩:好领导决定使从只专注于一个质量和测试角度的领导来开始一天变得有意义。

  詹妮弗·博宁:确实是。

  杰夫·佩恩:我们做的,我们在东方之星和西方之星做的,是我们关注与带来很多演讲者,高级富有经验的软件人员,经常有测试背景,软件开发背景,成为领导者们融进他们的领导智慧和他们发现的工作。那是关于一天的一半。一天的另一半是我们花费在小群里在那儿我们挑战不同的领导。我们开始每个人给我们他们关于什么使你们作为一个领导者在夜里保持精力的想法前我们询问。什么是最重要的?

  我带去这些主题,我指出哪个是最需求的主题之一,并且哪些是最优先的。我拼起桌子,每个人都去桌子他们想要交谈的和他们解决的问题以及头脑风暴,我自己和其他的演讲者方便使用这些桌子。所有的这些为参加者记录下来并且随后发送出去以至于他们能对被讨论的每一件事有一个完整的登记。

  詹妮弗·博宁:我想那很好。那很好是民间,就像你说的,今晚参加开放式他们参加的招待会,可以放进那些他们想要的主题,提交它们给你。你将会得到,团簇到一个顶尖思想,并且然后使用它们就像桌边主题一样。

  我过去讨论过的这个,人们的思想趋势将要去哪里?

  杰夫·佩恩:是的。

  詹妮弗·博宁:我们将要去看一些趋势,特定的事物我想我们经常说的。

  杰夫·佩恩:那儿常有一些主题,经常第一提及的。

  詹妮弗·博宁:经常有一些东西,第一提及的。一些经常来回循环。

  杰夫·佩恩:是的。

  詹妮弗·博宁:一些新事物进来然后其他一些出去。为一些这新事物的任一预想将会并且其中你想的一些仍然是趋势所以它们将在那儿因为年复一年它们都在那儿?

  杰夫·佩恩:我将开始经常在那儿的一些。寻找和保留人们经常在列表上。我怎样使我的人们被激励,快乐?我们找到合适的人们?我怎样做去面对可能我的组织不被重视和供给我觉得他们需要的给我的人民?我怎样做而没有像那些很多预算和东西?

  詹妮弗·博宁:没有为它的很多支持?

  杰夫·佩恩:那是经常在列表里的。在过去的五年里,灵活和处理步向灵活经常在列表上。我如何减少关于灵活的我的人民和我怎么教练和引导他们变得灵活。我怎样处理它趋向灵活,经常在列表上。经常在列表上的是两个。我打赌我们今年将看到和听到一些关于开发运营。

  詹妮弗·博宁:真的吗?

  杰夫·佩恩:是的,可能我们正在开始移向开发运营。我们正尝试从一个哲学角度理解含义。这个会改变我如何管理人民,领导人民吗?对测试者来说它意味这什么?我们可能听说它。

  詹妮弗·博宁:它还没有触及主题,是吗?

  杰夫·佩恩:不。

  詹妮弗·博宁:确实是,哇。

  杰夫·佩恩:还没有。

  詹妮弗·博宁:对我来说那很有趣。从一个会议的角度,我们…

  杰夫·佩恩:它无处不在。

  詹妮弗·博宁:它到处都在。我们已经拥有它好几年了。它有趣。我很有兴致于听到它触及因为它看起来到处都在。它将会有趣假如领导者开始去,"我们会被关注。"

  杰夫·佩恩:我已经指出了这做什么。

  詹妮弗·博宁:"这就来了"有趣。今年任一其他你想的可能会触及到那?

  杰夫·佩恩:我能明显想到的其他唯一一件事是它现在成热点的是物联网。我不知道它上渗到哪,我需要去管理或者领导不同的加入我们的组织正在开始移向那些性能,或者我们在测试那些性能并且我们尝试去理解我们的角色以及我们负责的和在和不在范围内的东西,以及我如何在那上管理和驾驭人民。有一些事情突然出现。

  詹妮弗·博宁:我也将会饶有兴趣地看到那突然出现。我觉得有些事是人们正想要开始思考的。什么有趣类型的东西来到了这些会议是你同时趋向获得领导想法,对吗?

  杰夫·佩恩:对。

  詹妮弗·博宁:人们在这之前,它可能还不是一个主流。我们正在讨论的但是每个人正在去,"那不影响我。它还没有触及我。"这些事情其一是关于安全和绑定到其他你花费了很多时间关注的区域关于安全和你如何保证你拥有的你的组织安全,保护你的数据,保护你的信息,确保你正在观注那些事情,尤其同时在常规行业。去做这些尤其的重要。

  我正在和一个绅士交谈。我们正谈到物联网和它将要去哪里,一个在医学行业的例子。我们今天看见的糖尿病人,举个例子,他们习惯于总是举起他们的手指去检查他们的血糖。现在他们决定改进补丁你能基本戴在你的手臂上。这个补丁能发送数据和信息到一个手机应用程序。我想,"哇,对不再不得不手动检查他们的胰岛素水平的糖尿病患者来说那很叹为观止。"他们自动地被得到通知。它可以被24*7跟踪。你得到更多数据动态,很棒。那数据现在可以得到因为它将通过网络。你现在让信息发出通过一个你能得到的不仅是你想要你的提供者或者你的医生得到的手机应用程序向下。其他谁能得到它?拥有好的信息,不仅是现在它在外面了。

  它可能不是高级安全的信息而不像他们知道的关于你的血糖和所有的东西。我想的有趣的应用是他们说,"关于有糖尿病孩子的父母什么?"父母能得到在他们手机上的信息。现在父母有能力和真实可得到的在他们手指尖的信息。然后你能进入到父母拥有的并且他们对那些记录有权限吗?什么假如孩子们不想要它们?他们是18岁或者17或者16。谁能有并且什么级别的安全你需要拥有对人们并且确保他们拥有它呢?

  任何想法上,那是一个例子,有很多其他,用起搏器,植入设备,从那些出来的数据,人们得到并接触数据的能力,停止和重启重要设备?现在你正逐步…

  杰夫·佩恩:你结束了。现在它确实是关键性安全。

  詹妮弗·博宁:现在它是关键性安全假如他们能阻止你的心脏。我们获取了很多技术存在于像那一样的。任何从你的安全方面的想法,考虑关于我们正在进入使数据安全的什么事情?谁能获取这些数据?启动那个舞台?

  杰夫·佩恩:一对想法。本质上物联网只是软件和依赖其他设备的设备等的供应链。我经常看到并且很明显的不论谁与消费者交互,终端消费者明显地更信赖和负责。

  詹妮弗·博宁:绝对是。

  杰夫·佩恩:它都是从他们开始。他们需要做的是实际上只在他们买的每件东西上推后和推下并且习惯于要求某些安全级别他们购买的放进他们的设备里。我看到它开始于消费者并且被推后下从一个人卖这些设备给消费者,到在他们提供或者提供软件或者感应器或者硬件系统供应链的每个人。他们正要去设置和使用标准,安全标准,并且使用安全测试规则去确保他们得到的每个东西是安全的。实际上他们是带有最风险之一。

  詹妮弗·博宁:这就是你听说的人,对吗?

  杰夫·佩恩:嗯-额,对。

  詹妮弗·博宁:假如有一次失误或者失败消费者责备与最接近他们的一个人。

  杰夫·佩恩:最后他们卖这个产品所以这是他们的责任。

  詹妮弗·博宁:我们看见过与目标公司练习,当他们有他们的缺口时。没必要在他们的防火墙里,但是它是他们后来有泄露数据然后离开的事件的供应商其中一个。他们将举行可解释的财务上的同时只从一个负责的立场出发。

  杰夫·佩恩:如果你考虑这么使用向导去构建他们的软件或者输出或者其他,或者他们正在买第三方控件。几乎每一个简单的违背会追溯回确实应负责的组织外的人们。这个问题在那很长时间。它只是物联网使它实时和关键性安全。现在你不得不实在关系那些事情。

  詹妮弗·博宁:你给提供建议为测试者谁说,"我们有这种群并且他们为它负责所以我实际上不能对它做太多。"你建议每个测试者在那儿至少得到一些基本的关于安全意识的知识吗?

  杰夫·佩恩:绝对是。我这儿教过一个安全测试辅导。我的公司卡福罗使很多帮忙的人们学习如何作为更好的安全测试者。首先,一个软件测试者没有理由不看一些在他们的测试中的安全缺陷。它并不难。

  其次是,当然如果你能很容易找到它并且修复它它将会省去你的很多下游麻烦。事实上你不想要等到最后。越早地推动它和使你的开发者怎样去理解如何构建安全的东西,怎样使你的测试者学习如何做一些安全测试对减低你的风险显得重要了。你不用依赖于人们直到最后它被推出去才出面。

  很难最后把它推出。我经常在辅导教程说那没什么不同假如你等到你的系统测试最后。假如你一直等待到最后,找问题就像在干草堆里找针。在安全里也一样。你不想去寻找所有的那些缺陷假如你正在生命周期的最后并且你有固定量的时间并且你正在做红色联盟或者渗透测试。

  詹妮弗·博宁:太晚了。

  杰夫·佩恩:你不得不做更多。

  詹妮弗·博宁:经常那些事情,我也假设,他们不是简单的而修复要很长时间。

  杰夫·佩恩:他们不是。

  詹妮弗·博宁:如果你能把它留到最后它能,一个问题能暴露其他问题。

  杰夫·佩恩:绝对是。

  詹妮弗·博宁:它能盘旋并且你在这个生命周期的末端并且现在你正是所有突然的事情挂起。早早地找到那东西,在流程中观察安全测试的其中一些,是一件好事。我们正听说很多这种会议关于,我们习惯于听到使测试在生命周期中更深入,使它转左。那包含着,并且我觉得人们现在正更加意识到,不仅是你的传统测试方式,还有安全测试,性能测试。

  杰夫·佩恩:性能,可靠性,所有你的非功能性更早移动。

  詹妮弗·博宁:它们更早地移动。

  杰夫·佩恩:它们不得不。

  詹妮弗·博宁:它们不得不,并且那是一些我觉得我们正在看到的是一个意识的趋势不仅意味着测试者不得不有这些事情中的一个知识水平。

  杰夫·佩恩:是的。

  詹妮弗·博宁:它不是受不起。很多时候人们去,"安全,那是高级专业化。我不知道任何关于它的。"

  杰夫·佩恩:"我不做那个"

  詹妮弗·博宁:"我不做那个。那不是我的事。"


作者:枫叶 译   

来源:51Testing软件测试网原创

  • 【留下美好印记】
    赞赏支持
登录 后发表评论
+ 关注

热门文章

    最新讲堂

      • 推荐阅读
      • 换一换
          • 接口自动化的工具现在有很多个选择,本篇文章着重介绍YAPI的使用方法;1、它首先是一个很好的接口维护的工具;开发同学的接口文档可以在此工具上维护;现在很多的文档的维护都是多人协同维护了,例如jira、石墨等。相对于postman更倾向于本地化,YAPI更能提现协同合作的优势。开发同学可以根据各自的分工来分别维护自己所负责模块的接口;而组长有分配的权限来给各个成员分配各个模块的查看和编辑的权限;在接口的编辑页面可以整理自己接口的信息,请求的参数以及返回的结构和信息,各种备注等等;开发的同学在维护完成接口后,测试同学就可以运动接口来进行接口的测试以及测试集合自动化测试的case编写了。2、单个接口...
            14 13 2872
            分享
          • 看了那么多讲堂,你是不是也心动了,想把自己的技术分享给大家?日常工作和学习中应该会遇到很多需要注意的问题和学习心得,可以尝试动手写下来,加深记忆的同时也可以帮助他人!什么是51讲堂51讲堂包含一篇文章和一次线上交流(可选)的知识分享,是一场高浓度、有收益的纯文字类型的内容。读者可以利用碎片时间学习,既满足了读者的学习需求,也满足了讲师的创作和收益需求。具体来说51讲堂需要具备以下几个条件:1、每一篇完整的讲堂都需要包含案例支撑,确保读者的问题可以在当前的讲堂中得到完整的解答;2、讲堂之间可以相互独立,读者可以根据自己的需求选择对应的内容进行阅读;3、讲堂之间也可以相互关联,系列讲堂每个讲堂之间...
            0 0 51630
            分享
          • 手机相机的测试内容 ,从立项到后期维护期间的测试内容需要多方讨论和打磨,根据项目实际情况安排评测和测试阶段。比如:画质客观评价体系,各个专项测试的方法和评测标准;安排正岗和外包人员工作内容分配,LOG分析培训;功能,性能,稳定性,画质调试测试如何执行并不断优化相机测试用例;需求梳理维护,需求变更的跟进。最重要的,是参与制定手机相机相关测试范围和标准,提供测试意见,和研发深度合作,回顾和拓展用例。后期维护,手机相机用户反馈报告的收集等。测试人员需要有相机硬件和软件的测试经验,才能执行用例,即便是外包同学。尤其外场拍片,没有经验或者经验很少,很容易拍出废片,宝贵的时间和项目的进度不能耽误。本文只叙...
            1 3 3563
            分享
          •   并发测试和持续性压测都是评估系统性能的常用方法,它们可以帮助开发人员发现并解决系统中的性能问题。本文来详细介绍下。  概念  并发测试:旨在评估系统在同时处理多个用户请求时的性能。在这种 测试 中,系统会暴露于一定数量的用户负载下,并且会记录系统的响应时间、吞吐量和资源利用率等指标。这些指标可以用来确定系统的性能瓶颈,以及在不同负载下系统的表现。  持续性压测:旨在评估系统在长时间运行或高负载下的性能。在这种测试中,系统会暴露于一定数量的用户负载下,并且会持续一段时间运行,通常在几个小时或几天。这种测试可以用来确定系统在长时间运行下的表现,以及在高负载下系统是否具有可扩展性。  并发测试 ...
            0 0 593
            分享
          • java数组Java数组在学习Java过程中属于比较重要的一个章节也是比较难的一个章节,作业带领大家讲解Java数组的一些相关操作。数组的概念 数组就是一组数据,我们定义变量会比较多,如果使用传统的方式,会出现的问题是变量很多,代码也很多,而且使用起来不方便。int t0 = 0 ;int t1 = 1 ;int t2 = 2 ;int t3 = 3 ;int t4 = 4 ;int t5 = 5 ;int t6 = 6 ;int t7...
            2 1 2767
            分享
      • 51testing软件测试圈微信