灰蓝 2016-07-06
云时代,测试环境的安全与否对于开发者来讲至关重要。是否会有人访问了你的测试数据、源代码和设计原则,这一问题对今天的商业世界来讲是十分重要的问题。如今,更多的开发模式采用了复杂而高效的新驱动构架,测试环境安全变得更为突出。
测试环境安全地位不足
过去,独立的测试系统和严苛的网络环境可能会减缓这一问题,可在现在来讲,问题的本质已经发生了变化。越来越注重合作和交流的时代,导致了安全情况越发严重。测试的应用程序很容易暴露在公共网络中,给软件和企业的安全带来极大困扰。
对于专业的软件开发或者测试公司来讲,他们可以做到集中开发测试解决问题。但是大多数公司开发和测试的过程会涉及到异地操作,由员工、开发商和服务商多方面共同监督修改,依靠互联网进行数据传输,典型的便是云业务的测试环节。
测试环境面临较大风险
如今,大多数的公司都能意识到软件安全性的重要,但是对于测试环境的安全意识却并不尽如人意。对于很多公司来讲,基于互联网的测试服务可以从经济和实用角度获益,但从内网转变到互联网,测试环境的危险性增加何止数倍,危险也会由此而来。
危机四伏
那么如果有外界入侵了公司的测试数据和环境,会带来怎样的危险呢?
测试环境面临风险众多
首先,知识产权的盗窃。在业务中并非每个人都会注意到这一点的存在,甚至包括技术部。但是对于技术供应商来讲,知识产权是他们最有价值的商品之一,也是公司的主要资产。这对小型公司和创业公司尤为重要,这部分可能是唯一会让此类公司超越高知名度大公司的机会。
对于专业人员来讲,IP窃取并不是件很困难的事情,其所包含的信息也很容易被复制、压缩、加密和传输。而当测试高技术含量的功能或者技术时,对于黑客来讲便是十分值得下手的知识产品。这种情况一旦发生,不仅公司的竞争力下降,开发延误、知识产权被抢等一系列后果都将是十分严重的。
产权和专利是企业核心竞争力之一
上面所提到的也正是所需要担心的第二点问题,竞争对手。任何一个行业都会存在不同程度的竞争,而测试也不例外。但是竞争对手可能不会像IP窃贼一样完全去盗窃你的知识和技术,但他们却需要获取同行的信息、计划、新技术和服务。
当此类信息被竞争对手获取后,他们则可以得知此类技术的优劣,学习的更快,甚至可能直接窃取测试结果,获得该产品。他们会和你一样了解产品的代码、功能、潜在问题以及应用程序中的薄弱环节,借此可以在新功能发布后他们开发出更为完善的产品,直到完全占据市场。
背后有一系列的风险存在
再者,就是正常的隐私问题。当测试环境处于被劫持状态后,即便未在进行任何应用程序测试,设备依然面临危险,信息数据依然可能被盗。无关测试,也许是公司其他信息,可能是新的UI设计,可能是未公开的发布计划等均可能酝酿出重大的安全问题。
这时,攻击者就像是普通的黑客,闯入你的私人领域窃取相关信息并且发布在网上。原始测试数据被上传,公司专利技术变成公共知识,个人信息被窃取,所有的问题仅仅只是因为不安全的测试环境,这种危险绝非耸人听闻,而是正在发生的问题。
测试环境真正的安全
那么,要怎样的测试环境才能够算得上是安全呢?真正安全的环境应当有如下几个特点。
测试并非表面上的风平浪静
第一,测试专用虚拟机应当是一次性的。在测试中,每一个测试虚拟机都应该是动态的,用于单一的测试,结束后便直接销毁。虚拟机绝对不可以回收后再交给其他用户多次利用,也不可以为同一用户进行多次测试。
第二,确保通信安全。与测试系统相关联的通信系统应当通过安全的VPN通道连接。测试脚步和数据只需要将缓存暂时交给测试系统另一端的客户,而并非将之储存后再交出。而且一定要仅利用当前测试的虚拟机与客户进行相关的沟通。
企业测试为重,测试安全为重
第三,保证与外部没有更多沟通。在测试虚拟机中,除了连接客户的VPN通道和测试需要连接保留,其他一切与外网相互沟通的渠道都应该禁用。