• 0
  • 0
分享
  • 从安全测试开始:与杰夫•佩恩的一场面谈
  • 饭团🍙 2020-07-22 13:46:26 字数 4558 阅读 1778 收藏 0

     在这次面谈中,杰夫·佩恩,卡福罗的首席执行官和创办者,谈及了关于软件安全。他讨论物联网和它如何关联到关键性安全的设备,一些有用的工具,测试者如何测试安全,以及设备如何更方便地推动在你生活圈内的流程。

  詹妮弗·博宁:我们更多在虚拟采访中背对着。希望你总是能在将近2小时我们即将讨论到的经常的话题留着。杰夫将开场。杰夫,感谢来到这儿。

  杰夫·佩恩:感谢邀请我。

  詹妮弗·博宁:对那些你不知道的事情杰夫,我过去已经和他谈过几次了。其中的一些事我觉得有趣去对虚拟观众谈论的是你也加入进来的事情。很明显的安全方面的大专家,所以我经常喜欢和您谈论关于安全。

  杰夫·佩恩:当然。

  詹妮弗·博宁:您总是知道那里发生了什么,然后领导发起。

  杰夫·佩恩:对的。

  詹妮弗·博宁:从周一到周四不在这儿的民间笑话,周一-周四是相当长的辅导性会话,你们提供这些中的一部分。昨天和今天是同时进行的会话,都是比较短的会话。你们只能得到很少的信息的片段仅仅是使你对一个主题兴奋的类型,并且你能更深地进入。明天开始的是关于领导人会议。

  杰夫·佩恩:领导人会议。

  詹妮弗·博宁:对于民间来说从没有听说,或者没有参加过,或许只是给他们一些小的在创建领导人会议背后的思维流程引进,它的什么形式因为它是漂亮的形式。

  杰夫·佩恩:它是很棒的形式。它来自于星会上的很多反馈,人们想要更多关于领导,更多关于管理,我怎样作为一个领导者处理自己,我需要领导的我的人民和你需要领导我的老板,对吗?

  詹妮弗·博宁:是的。

  杰夫·佩恩:你需要在所有的方向引导。

  詹妮弗·博宁:确实是。

  杰夫·佩恩:好领导决定使从只专注于一个质量和测试角度的领导来开始一天变得有意义。

  詹妮弗·博宁:确实是。

  杰夫·佩恩:我们做的,我们在东方之星和西方之星做的,是我们关注与带来很多演讲者,高级富有经验的软件人员,经常有测试背景,软件开发背景,成为领导者们融进他们的领导智慧和他们发现的工作。那是关于一天的一半。一天的另一半是我们花费在小群里在那儿我们挑战不同的领导。我们开始每个人给我们他们关于什么使你们作为一个领导者在夜里保持精力的想法前我们询问。什么是最重要的?

  我带去这些主题,我指出哪个是最需求的主题之一,并且哪些是最优先的。我拼起桌子,每个人都去桌子他们想要交谈的和他们解决的问题以及头脑风暴,我自己和其他的演讲者方便使用这些桌子。所有的这些为参加者记录下来并且随后发送出去以至于他们能对被讨论的每一件事有一个完整的登记。

  詹妮弗·博宁:我想那很好。那很好是民间,就像你说的,今晚参加开放式他们参加的招待会,可以放进那些他们想要的主题,提交它们给你。你将会得到,团簇到一个顶尖思想,并且然后使用它们就像桌边主题一样。

  我过去讨论过的这个,人们的思想趋势将要去哪里?

  杰夫·佩恩:是的。

  詹妮弗·博宁:我们将要去看一些趋势,特定的事物我想我们经常说的。

  杰夫·佩恩:那儿常有一些主题,经常第一提及的。

  詹妮弗·博宁:经常有一些东西,第一提及的。一些经常来回循环。

  杰夫·佩恩:是的。

  詹妮弗·博宁:一些新事物进来然后其他一些出去。为一些这新事物的任一预想将会并且其中你想的一些仍然是趋势所以它们将在那儿因为年复一年它们都在那儿?

  杰夫·佩恩:我将开始经常在那儿的一些。寻找和保留人们经常在列表上。我怎样使我的人们被激励,快乐?我们找到合适的人们?我怎样做去面对可能我的组织不被重视和供给我觉得他们需要的给我的人民?我怎样做而没有像那些很多预算和东西?

  詹妮弗·博宁:没有为它的很多支持?

  杰夫·佩恩:那是经常在列表里的。在过去的五年里,灵活和处理步向灵活经常在列表上。我如何减少关于灵活的我的人民和我怎么教练和引导他们变得灵活。我怎样处理它趋向灵活,经常在列表上。经常在列表上的是两个。我打赌我们今年将看到和听到一些关于开发运营。

  詹妮弗·博宁:真的吗?

  杰夫·佩恩:是的,可能我们正在开始移向开发运营。我们正尝试从一个哲学角度理解含义。这个会改变我如何管理人民,领导人民吗?对测试者来说它意味这什么?我们可能听说它。

  詹妮弗·博宁:它还没有触及主题,是吗?

  杰夫·佩恩:不。

  詹妮弗·博宁:确实是,哇。

  杰夫·佩恩:还没有。

  詹妮弗·博宁:对我来说那很有趣。从一个会议的角度,我们…

  杰夫·佩恩:它无处不在。

  詹妮弗·博宁:它到处都在。我们已经拥有它好几年了。它有趣。我很有兴致于听到它触及因为它看起来到处都在。它将会有趣假如领导者开始去,"我们会被关注。"

  杰夫·佩恩:我已经指出了这做什么。

  詹妮弗·博宁:"这就来了"有趣。今年任一其他你想的可能会触及到那?

  杰夫·佩恩:我能明显想到的其他唯一一件事是它现在成热点的是物联网。我不知道它上渗到哪,我需要去管理或者领导不同的加入我们的组织正在开始移向那些性能,或者我们在测试那些性能并且我们尝试去理解我们的角色以及我们负责的和在和不在范围内的东西,以及我如何在那上管理和驾驭人民。有一些事情突然出现。

  詹妮弗·博宁:我也将会饶有兴趣地看到那突然出现。我觉得有些事是人们正想要开始思考的。什么有趣类型的东西来到了这些会议是你同时趋向获得领导想法,对吗?

  杰夫·佩恩:对。

  詹妮弗·博宁:人们在这之前,它可能还不是一个主流。我们正在讨论的但是每个人正在去,"那不影响我。它还没有触及我。"这些事情其一是关于安全和绑定到其他你花费了很多时间关注的区域关于安全和你如何保证你拥有的你的组织安全,保护你的数据,保护你的信息,确保你正在观注那些事情,尤其同时在常规行业。去做这些尤其的重要。

  我正在和一个绅士交谈。我们正谈到物联网和它将要去哪里,一个在医学行业的例子。我们今天看见的糖尿病人,举个例子,他们习惯于总是举起他们的手指去检查他们的血糖。现在他们决定改进补丁你能基本戴在你的手臂上。这个补丁能发送数据和信息到一个手机应用程序。我想,"哇,对不再不得不手动检查他们的胰岛素水平的糖尿病患者来说那很叹为观止。"他们自动地被得到通知。它可以被24*7跟踪。你得到更多数据动态,很棒。那数据现在可以得到因为它将通过网络。你现在让信息发出通过一个你能得到的不仅是你想要你的提供者或者你的医生得到的手机应用程序向下。其他谁能得到它?拥有好的信息,不仅是现在它在外面了。

  它可能不是高级安全的信息而不像他们知道的关于你的血糖和所有的东西。我想的有趣的应用是他们说,"关于有糖尿病孩子的父母什么?"父母能得到在他们手机上的信息。现在父母有能力和真实可得到的在他们手指尖的信息。然后你能进入到父母拥有的并且他们对那些记录有权限吗?什么假如孩子们不想要它们?他们是18岁或者17或者16。谁能有并且什么级别的安全你需要拥有对人们并且确保他们拥有它呢?

  任何想法上,那是一个例子,有很多其他,用起搏器,植入设备,从那些出来的数据,人们得到并接触数据的能力,停止和重启重要设备?现在你正逐步…

  杰夫·佩恩:你结束了。现在它确实是关键性安全。

  詹妮弗·博宁:现在它是关键性安全假如他们能阻止你的心脏。我们获取了很多技术存在于像那一样的。任何从你的安全方面的想法,考虑关于我们正在进入使数据安全的什么事情?谁能获取这些数据?启动那个舞台?

  杰夫·佩恩:一对想法。本质上物联网只是软件和依赖其他设备的设备等的供应链。我经常看到并且很明显的不论谁与消费者交互,终端消费者明显地更信赖和负责。

  詹妮弗·博宁:绝对是。

  杰夫·佩恩:它都是从他们开始。他们需要做的是实际上只在他们买的每件东西上推后和推下并且习惯于要求某些安全级别他们购买的放进他们的设备里。我看到它开始于消费者并且被推后下从一个人卖这些设备给消费者,到在他们提供或者提供软件或者感应器或者硬件系统供应链的每个人。他们正要去设置和使用标准,安全标准,并且使用安全测试规则去确保他们得到的每个东西是安全的。实际上他们是带有最风险之一。

  詹妮弗·博宁:这就是你听说的人,对吗?

  杰夫·佩恩:嗯-额,对。

  詹妮弗·博宁:假如有一次失误或者失败消费者责备与最接近他们的一个人。

  杰夫·佩恩:最后他们卖这个产品所以这是他们的责任。

  詹妮弗·博宁:我们看见过与目标公司练习,当他们有他们的缺口时。没必要在他们的防火墙里,但是它是他们后来有泄露数据然后离开的事件的供应商其中一个。他们将举行可解释的财务上的同时只从一个负责的立场出发。

  杰夫·佩恩:如果你考虑这么使用向导去构建他们的软件或者输出或者其他,或者他们正在买第三方控件。几乎每一个简单的违背会追溯回确实应负责的组织外的人们。这个问题在那很长时间。它只是物联网使它实时和关键性安全。现在你不得不实在关系那些事情。

  詹妮弗·博宁:你给提供建议为测试者谁说,"我们有这种群并且他们为它负责所以我实际上不能对它做太多。"你建议每个测试者在那儿至少得到一些基本的关于安全意识的知识吗?

  杰夫·佩恩:绝对是。我这儿教过一个安全测试辅导。我的公司卡福罗使很多帮忙的人们学习如何作为更好的安全测试者。首先,一个软件测试者没有理由不看一些在他们的测试中的安全缺陷。它并不难。

  其次是,当然如果你能很容易找到它并且修复它它将会省去你的很多下游麻烦。事实上你不想要等到最后。越早地推动它和使你的开发者怎样去理解如何构建安全的东西,怎样使你的测试者学习如何做一些安全测试对减低你的风险显得重要了。你不用依赖于人们直到最后它被推出去才出面。

  很难最后把它推出。我经常在辅导教程说那没什么不同假如你等到你的系统测试最后。假如你一直等待到最后,找问题就像在干草堆里找针。在安全里也一样。你不想去寻找所有的那些缺陷假如你正在生命周期的最后并且你有固定量的时间并且你正在做红色联盟或者渗透测试。

  詹妮弗·博宁:太晚了。

  杰夫·佩恩:你不得不做更多。

  詹妮弗·博宁:经常那些事情,我也假设,他们不是简单的而修复要很长时间。

  杰夫·佩恩:他们不是。

  詹妮弗·博宁:如果你能把它留到最后它能,一个问题能暴露其他问题。

  杰夫·佩恩:绝对是。

  詹妮弗·博宁:它能盘旋并且你在这个生命周期的末端并且现在你正是所有突然的事情挂起。早早地找到那东西,在流程中观察安全测试的其中一些,是一件好事。我们正听说很多这种会议关于,我们习惯于听到使测试在生命周期中更深入,使它转左。那包含着,并且我觉得人们现在正更加意识到,不仅是你的传统测试方式,还有安全测试,性能测试。

  杰夫·佩恩:性能,可靠性,所有你的非功能性更早移动。

  詹妮弗·博宁:它们更早地移动。

  杰夫·佩恩:它们不得不。

  詹妮弗·博宁:它们不得不,并且那是一些我觉得我们正在看到的是一个意识的趋势不仅意味着测试者不得不有这些事情中的一个知识水平。

  杰夫·佩恩:是的。

  詹妮弗·博宁:它不是受不起。很多时候人们去,"安全,那是高级专业化。我不知道任何关于它的。"

  杰夫·佩恩:"我不做那个"

  詹妮弗·博宁:"我不做那个。那不是我的事。"


作者:枫叶 译   

来源:51Testing软件测试网原创

  • 【留下美好印记】
    赞赏支持
登录 后发表评论
+ 关注

热门文章

    最新讲堂

      • 推荐阅读
      • 换一换
          •  一、API调试常用解决方案1、Postman + Swagger + Mock + JMeter作为一个后端开发,我做的大部分项目一般都是基于 Swagger 来管理 API 文档,基于 Postman 来做接口调试,基于 JMeter 来做接口性能测试,基于 RAP 等工具 Mock API 数据。2、存在的问题(1)多系统数据不互通API设计者、前端开发、后端开发、测试人员大量重复工作。(2)效率低可视化程度低、操作不友好。(3)无法团队协作单机离线使用为主,成员之间无法实时同步数据,无法协作。(4)学习成本高初学者难以入手,需要大量的学习成本、培训成本。(5)数据一致性困难每...
            0 0 575
            分享
          •   引言  自2017年面世以来,微信小程序以其相较于APP的进入门槛更低,开发周期更短,费用更低的优势,已经构造了新的微信小程序开发环境和开发者生态。  当前,微信小程序已经赋能了社交、娱乐、旅游出行、购物、餐饮、支付、理财等多种场景。  但随着小程序生态的建立,其特有的安全风险也逐步显示出来:因为小程序本质也是网页交互,其通讯更容易被破解。  本文将从客户端和服务器两个层面讲解微信小程序渗透测试。  客户端层面  客户端方面,主要是对微信小程序进行反编译,得到源代码,检测源代码的保护强度以及是否存在信息泄露,如密钥硬编码等。  要进行反编译,关键是要获取小程序的 .wxapkg 文件。接下...
            11 11 1504
            分享
          •   在数字化时代,数据已经成为银行的重要资产,而数据治理则是确保数据质量、安全性和可用性的关键。那么,什么是银行数据治理?为什么我们需要银行数据治理?又如何进行有效的银行数据治理呢?又有哪些数据治理技术及其在银行领域的实际应用呢?本文将为您一一解答。  1.什么是银行数据治理?  银行数据治理是一种对银行数据进行全面管理的过程,包括数据的收集、存储、处理、分析、使用和销毁等各个环节。它涉及到数据的质量管理、安全管理、隐私保护、合规性等多个方面,旨在确保数据的完整性、准确性、一致性和安全性,从而提高数据的可用性和价值。  2.为什么需要银行数据治理?  (1)提高数据质量:通过银行数据治理,可以...
            0 0 501
            分享
          •   1.1测试原理和方法  Session 是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时,应将客户端Session认证属性标识清空。如果未能清空客户端 Session 标识,在下次登录系统时,系统会重复利用该Session标识进行认证会话。攻击者可利用该漏洞生成固定Session会话,并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取。  1.2测试过程  在注销退出系统时,对当前浏览器授权 SessionID 值进行记录。再次登录系统,将本次授权 SessionID 值与上次进行比对校验。判断服务器是否使用与上次相同的 SessionID 值进行授...
            0 0 419
            分享
          • 前言最早接触“零侵入”一词,源于笔者参加美团举办的测试技术沙龙活动。活动上,去哪儿网的童鞋介绍其自主研发的接口自动化测试框架Qunit时,提到了一项关键技术:零侵入切面技术,该技术方案最大优点是:无需修改代码实现mock功能,举例说明如下。 假如被测接口里面调用了第三方接口,由于第三方接口的不确定性,对于某些测试场景(比如请求超时、特定错误码测试等),测试人员往往需要开发人员添加mock来配合测试,这种工作效率相对来说是比较低的,而且也不利于自动化测试的开展。零侵入技术把mock主动权交接给测试人员管理,无需开发再去修改代码、部署测试环境等一系列动作。测试人员只需根据具体的测试场景编写对应三方...
            1 2 2523
            分享
      • 51testing软件测试圈微信