从安全测试开始:与杰夫•佩恩的一场面谈(译)
在這次面談中,杰夫·佩恩,卡福羅的首席執行官和創辦者,談及了關于軟件安全。他討論物聯網和它如何關聯到關鍵性安全的設備,一些有用的工具,測試者如何測試安全,以及設備如何更方便地推動在你生活圈內的流程。
詹妮弗·博寧:我們更多在虛擬采訪中背對著。希望你總是能在將近2小時我們即將討論到的經常的話題留著。杰夫將開場。杰夫,感謝來到這兒。
杰夫·佩恩:感謝邀請我。
詹妮弗·博寧:對那些你不知道的事情杰夫,我過去已經和他談過幾次了。其中的一些事我覺得有趣去對虛擬觀眾談論的是你也加入進來的事情。很明顯的安全方面的大專家,所以我經常喜歡和您談論關于安全。
杰夫·佩恩:當然。
詹妮弗·博寧:您總是知道那里發生了什么,然后領導發起。
杰夫·佩恩:對的。
詹妮弗·博寧:從周一到周四不在這兒的民間笑話,周一-周四是相當長的輔導性會話,你們提供這些中的一部分。昨天和今天是同時進行的會話,都是比較短的會話。你們只能得到很少的信息的片段僅僅是使你對一個主題興奮的類型,并且你能更深地進入。明天開始的是關于領導人會議。
杰夫·佩恩:領導人會議。
詹妮弗·博寧:對于民間來說從沒有聽說,或者沒有參加過,或許只是給他們一些小的在創建領導人會議背后的思維流程引進,它的什么形式因為它是漂亮的形式。
杰夫·佩恩:它是很棒的形式。它來自于星會上的很多反饋,人們想要更多關于領導,更多關于管理,我怎樣作為一個領導者處理自己,我需要領導的我的人民和你需要領導我的老板,對嗎?
詹妮弗·博寧:是的。
杰夫·佩恩:你需要在所有的方向引導。
詹妮弗·博寧:確實是。
杰夫·佩恩:好領導決定使從只專注于一個質量和測試角度的領導來開始一天變得有意義。
詹妮弗·博寧:確實是。
杰夫·佩恩:我們做的,我們在東方之星和西方之星做的,是我們關注與帶來很多演講者,高級富有經驗的軟件人員,經常有測試背景,軟件開發背景,成為領導者們融進他們的領導智慧和他們發現的工作。那是關于一天的一半。一天的另一半是我們花費在小群里在那兒我們挑戰不同的領導。我們開始每個人給我們他們關于什么使你們作為一個領導者在夜里保持精力的想法前我們詢問。什么是最重要的?
我帶去這些主題,我指出哪個是最需求的主題之一,并且哪些是最優先的。我拼起桌子,每個人都去桌子他們想要交談的和他們解決的問題以及頭腦風暴,我自己和其他的演講者方便使用這些桌子。所有的這些為參加者記錄下來并且隨后發送出去以至于他們能對被討論的每一件事有一個完整的登記。
詹妮弗·博寧:我想那很好。那很好是民間,就像你說的,今晚參加開放式他們參加的招待會,可以放進那些他們想要的主題,提交它們給你。你將會得到,團簇到一個頂尖思想,并且然后使用它們就像桌邊主題一樣。
我過去討論過的這個,人們的思想趨勢將要去哪里?
杰夫·佩恩:是的。
詹妮弗·博寧:我們將要去看一些趨勢,特定的事物我想我們經常說的。
杰夫·佩恩:那兒常有一些主題,經常第一提及的。
詹妮弗·博寧:經常有一些東西,第一提及的。一些經常來回循環。
杰夫·佩恩:是的。
詹妮弗·博寧:一些新事物進來然后其他一些出去。為一些這新事物的任一預想將會并且其中你想的一些仍然是趨勢所以它們將在那兒因為年復一年它們都在那兒?
杰夫·佩恩:我將開始經常在那兒的一些。尋找和保留人們經常在列表上。我怎樣使我的人們被激勵,快樂?我們找到合適的人們?我怎樣做去面對可能我的組織不被重視和供給我覺得他們需要的給我的人民?我怎樣做而沒有像那些很多預算和東西?
詹妮弗·博寧:沒有為它的很多支持?
杰夫·佩恩:那是經常在列表里的。在過去的五年里,靈活和處理步向靈活經常在列表上。我如何減少關于靈活的我的人民和我怎么教練和引導他們變得靈活。我怎樣處理它趨向靈活,經常在列表上。經常在列表上的是兩個。我打賭我們今年將看到和聽到一些關于開發運營。
詹妮弗·博寧:真的嗎?
杰夫·佩恩:是的,可能我們正在開始移向開發運營。我們正嘗試從一個哲學角度理解含義。這個會改變我如何管理人民,領導人民嗎?對測試者來說它意味這什么?我們可能聽說它。
詹妮弗·博寧:它還沒有觸及主題,是嗎?
杰夫·佩恩:不。
詹妮弗·博寧:確實是,哇。
杰夫·佩恩:還沒有。
詹妮弗·博寧:對我來說那很有趣。從一個會議的角度,我們…
杰夫·佩恩:它無處不在。
詹妮弗·博寧:它到處都在。我們已經擁有它好幾年了。它有趣。我很有興致于聽到它觸及因為它看起來到處都在。它將會有趣假如領導者開始去,“我們會被關注。”
杰夫·佩恩:我已經指出了這做什么。
詹妮弗·博寧:“這就來了”有趣。今年任一其他你想的可能會觸及到那?
杰夫·佩恩:我能明顯想到的其他唯一一件事是它現在成熱點的是物聯網。我不知道它上滲到哪,我需要去管理或者領導不同的加入我們的組織正在開始移向那些性能,或者我們在測試那些性能并且我們嘗試去理解我們的角色以及我們負責的和在和不在范圍內的東西,以及我如何在那上管理和駕馭人民。有一些事情突然出現。
詹妮弗·博寧:我也將會饒有興趣地看到那突然出現。我覺得有些事是人們正想要開始思考的。什么有趣類型的東西來到了這些會議是你同時趨向獲得領導想法,對嗎?
杰夫·佩恩:對。
詹妮弗·博寧:人們在這之前,它可能還不是一個主流。我們正在討論的但是每個人正在去,“那不影響我。它還沒有觸及我。”這些事情其一是關于安全和綁定到其他你花費了很多時間關注的區域關于安全和你如何保證你擁有的你的組織安全,保護你的數據,保護你的信息,確保你正在觀注那些事情,尤其同時在常規行業。去做這些尤其的重要。
我正在和一個紳士交談。我們正談到物聯網和它將要去哪里,一個在醫學行業的例子。我們今天看見的糖尿病人,舉個例子,他們習慣于總是舉起他們的手指去檢查他們的血糖。現在他們決定改進補丁你能基本戴在你的手臂上。這個補丁能發送數據和信息到一個手機應用程序。我想,“哇,對不再不得不手動檢查他們的胰島素水平的糖尿病患者來說那很嘆為觀止。”他們自動地被得到通知。它可以被24*7跟蹤。你得到更多數據動態,很棒。那數據現在可以得到因為它將通過網絡。你現在讓信息發出通過一個你能得到的不僅是你想要你的提供者或者你的醫生得到的手機應用程序向下。其他誰能得到它?擁有好的信息,不僅是現在它在外面了。
它可能不是高級安全的信息而不像他們知道的關于你的血糖和所有的東西。我想的有趣的應用是他們說,“關于有糖尿病孩子的父母什么?”父母能得到在他們手機上的信息。現在父母有能力和真實可得到的在他們手指尖的信息。然后你能進入到父母擁有的并且他們對那些記錄有權限嗎?什么假如孩子們不想要它們?他們是18歲或者17或者16。誰能有并且什么級別的安全你需要擁有對人們并且確保他們擁有它呢?
任何想法上,那是一個例子,有很多其他,用起搏器,植入設備,從那些出來的數據,人們得到并接觸數據的能力,停止和重啟重要設備?現在你正逐步…
杰夫·佩恩:你結束了。現在它確實是關鍵性安全。
詹妮弗·博寧:現在它是關鍵性安全假如他們能阻止你的心臟。我們獲取了很多技術存在于像那一樣的。任何從你的安全方面的想法,考慮關于我們正在進入使數據安全的什么事情?誰能獲取這些數據?啟動那個舞臺?
杰夫·佩恩:一對想法。本質上物聯網只是軟件和依賴其他設備的設備等的供應鏈。我經常看到并且很明顯的不論誰與消費者交互,終端消費者明顯地更信賴和負責。
詹妮弗·博寧:絕對是。
杰夫·佩恩:它都是從他們開始。他們需要做的是實際上只在他們買的每件東西上推后和推下并且習慣于要求某些安全級別他們購買的放進他們的設備里。我看到它開始于消費者并且被推后下從一個人賣這些設備給消費者,到在他們提供或者提供軟件或者感應器或者硬件系統供應鏈的每個人。他們正要去設置和使用標準,安全標準,并且使用安全測試規則去確保他們得到的每個東西是安全的。實際上他們是帶有最風險之一。
詹妮弗·博寧:這就是你聽說的人,對嗎?
杰夫·佩恩:嗯-額,對。
詹妮弗·博寧:假如有一次失誤或者失敗消費者責備與最接近他們的一個人。
杰夫·佩恩:最后他們賣這個產品所以這是他們的責任。
詹妮弗·博寧:我們看見過與目標公司練習,當他們有他們的缺口時。沒必要在他們的防火墻里,但是它是他們后來有泄露數據然后離開的事件的供應商其中一個。他們將舉行可解釋的財務上的同時只從一個負責的立場出發。
杰夫·佩恩:如果你考慮這么使用向導去構建他們的軟件或者輸出或者其他,或者他們正在買第三方控件。幾乎每一個簡單的違背會追溯回確實應負責的組織外的人們。這個問題在那很長時間。它只是物聯網使它實時和關鍵性安全。現在你不得不實在關系那些事情。
詹妮弗·博寧:你給提供建議為測試者誰說,“我們有這種群并且他們為它負責所以我實際上不能對它做太多。”你建議每個測試者在那兒至少得到一些基本的關于安全意識的知識嗎?
杰夫·佩恩:絕對是。我這兒教過一個安全測試輔導。我的公司卡福羅使很多幫忙的人們學習如何作為更好的安全測試者。首先,一個軟件測試者沒有理由不看一些在他們的測試中的安全缺陷。它并不難。
其次是,當然如果你能很容易找到它并且修復它它將會省去你的很多下游麻煩。事實上你不想要等到最后。越早地推動它和使你的開發者怎樣去理解如何構建安全的東西,怎樣使你的測試者學習如何做一些安全測試對減低你的風險顯得重要了。你不用依賴于人們直到最后它被推出去才出面。
很難最后把它推出。我經常在輔導教程說那沒什么不同假如你等到你的系統測試最后。假如你一直等待到最后,找問題就像在干草堆里找針。在安全里也一樣。你不想去尋找所有的那些缺陷假如你正在生命周期的最后并且你有固定量的時間并且你正在做紅色聯盟或者滲透測試。
詹妮弗·博寧:太晚了。
杰夫·佩恩:你不得不做更多。
詹妮弗·博寧:經常那些事情,我也假設,他們不是簡單的而修復要很長時間。
杰夫·佩恩:他們不是。
詹妮弗·博寧:如果你能把它留到最后它能,一個問題能暴露其他問題。
杰夫·佩恩:絕對是。
詹妮弗·博寧:它能盤旋并且你在這個生命周期的末端并且現在你正是所有突然的事情掛起。早早地找到那東西,在流程中觀察安全測試的其中一些,是一件好事。我們正聽說很多這種會議關于,我們習慣于聽到使測試在生命周期中更深入,使它轉左。那包含著,并且我覺得人們現在正更加意識到,不僅是你的傳統測試方式,還有安全測試,性能測試。
杰夫·佩恩:性能,可靠性,所有你的非功能性更早移動。
詹妮弗·博寧:它們更早地移動。
杰夫·佩恩:它們不得不。
詹妮弗·博寧:它們不得不,并且那是一些我覺得我們正在看到的是一個意識的趨勢不僅意味著測試者不得不有這些事情中的一個知識水平。
杰夫·佩恩:是的。
詹妮弗·博寧:它不是受不起。很多時候人們去,“安全,那是高級專業化。我不知道任何關于它的。”
杰夫·佩恩:“我不做那個”
詹妮弗·博寧:“我不做那個。那不是我的事。”
杰夫·佩恩:你不得不指出的另一件事是你如何從你更早做的但是然后你不過后不重復的事情中區分出非功能測試。它是我在我們的開發運營輔導課里討論的其中一件事。我們也做了很多開發運營工作,并且我們經常嘗試去更早推動擔保。其中一個技巧是不要嘗試解決整個問題。壓力和性能測試。你直到有一個像你能做的最終壓力測試的環境這樣的產品你才有能力去完成它。那不意味著你不能在你構建它的時候衡量代碼的性能并跟蹤它。假如它開始得到一個早先緩慢的糾正而不是等待直到最后指出它為止。
你能做同樣的事情對于安全,私密,其他的事情。你能小菜一碟地關聯軟件自身,不論它的環境并且嘗試確認它沒有很早失去控制。
詹妮弗·博寧:把它分成那些小的組件以至于你能更早地做且找出相像的地方。你能建議,或者有任何為了得到所有指出點的意識,確實為測試者得到一個地圖指導你去的?誰是所有那些提供者?什么是所有的應用程序接口?哪里是我的雇員可能去的地方這樣你正確認你能覆蓋哪些?
杰夫·佩恩:那兒有一些產品并且開源技術會掃描你的文件系統,抓你的網站。有,我在輔導課演示它,帶來一個輔導,有一個網站名叫與創建,我想它是builtwith.com,builtwith.com。假如你只是指出一個鏈接它將卸下所有的框架和正在使用的網站東西。你想要知道所有的東西是什么。對你來說關于你的供應商是誰的理解,假如你正在使用開源控件,今天每個人都是,有好的工具現在將在一個開發運營環境看到,無論框架的當前版本或者你正在使用的庫在它們中有已知的被發現的的缺陷。
很多次開發者他們得到的工作的,說,源代碼或者一些東西,并且它工作著。它們不升級它們的源代碼版本因為他們擔心它會破壞某些東西。那舊的組件或許在你的軟件里很多年,并且同時缺陷被知道和發現并被批量處理掉而且你從沒有升級它。你正在傳輸一個產品帶著缺陷代碼在它里面,以至于不僅在它里有缺陷代碼,而且它有一個到什么是易受攻擊的地圖。
詹妮弗·博寧:它像人們的一個地圖。
杰夫·佩恩:它是公共知識。確切地。
詹妮弗·博寧:所有人們想要做壞事情確切地知道去哪里。
杰夫·佩恩:你能使用這些工具像創建與和其他東西。假如你是一個黑客第一件事情他們經常做的是,擔保。他們嘗試去找出你有什么并且你使用東西的版本使得他們可以去看一看。最簡單的事情是看到是否他們沒有缺陷。假如有,你倒霉了。
詹妮弗·博寧:你需要……你提倡理解一個黑客的心態嗎,這些孩子想要去哪里,第一要去的地方?自我檢查因為他們將要去那里?
杰夫·佩恩:與你的開發交談,與你的測試交談。有很多掃描工具。理解什么語言被使用,你使用什么平臺,什么第三方控件,在你的軟件里什么腳本引擎。你理解的東西越多你將越理解從一個測試角度需要去做的事確保它工作良好。
詹妮弗·博寧:我們沒有時間了,但是我知道我們只是做了膚淺的研究。人們可能像,“我想要知道這些工具是什么。”如果人們想要聯系你以得到更多關于工具的信息,卡福羅,提供關于那安全測試,啟動的幫助,聯系你的最好方式是什么?
杰夫·佩恩:你可以經常瀏覽我們的網站,www.coveros.com。或者只在推特上點擊我@jeffreyepayne。
詹妮弗·博寧:太好了。
杰夫·佩恩:它是最簡單的方式。
詹妮弗·博寧:謝謝,杰夫,這兒就這么多了。
杰夫·佩恩:謝謝。
詹妮弗·博寧:不用謝。
杰夫·佩恩:謝謝。
杰夫·佩恩是卡福羅有限公司的首席執行官,一個使用敏捷方法創建安全軟件應用的軟件公司。自從2008年它全面啟動,卡福羅正成功在安全敏捷規則和被認可的有限公司里成為一個市場領頭者。快速發展一直的雜志激勵了國家里的公司。先于發現卡福羅,杰夫是董事長,首席執行官,并且希捷的合作者,有限公司,一個在軟件安全顧問領域的市場領導者。他在軟件開發和測試上發版了超過30張紙,并且在國家重要事情前的會議前測試了,包括知識產權,網絡恐怖,以及軟件質量。
轉載于:https://www.cnblogs.com/fengye151/p/11519217.html
《新程序員》:云原生和全面數字化實踐50位技術專家共同創作,文字、視頻、音頻交互閱讀總結
以上是生活随笔為你收集整理的从安全测试开始:与杰夫•佩恩的一场面谈(译)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 过渡期间的测试:外包软件的测试标准(译)
- 下一篇: 在持续交付阶段中的测试覆盖率(译)