所有人都說(shuō)云因速度而聞名，但在云安全方面卻評(píng)價(jià)很低。在涉及到完全時(shí)，軟件質(zhì)量專(zhuān)業(yè)人士如何確保他們測(cè)試的應(yīng)用已經(jīng)云就緒?

我一直對(duì)云持懷疑態(tài)度?？赡苁且?yàn)槲页３Ｔ诨谠频膽?yīng)用中找到令人不快的安全缺陷。而恰恰是這些應(yīng)用因?yàn)?ldquo;完美的”SSAE 16審計(jì)報(bào)告而常常存儲(chǔ)在數(shù)據(jù)中心中。不要讓銷(xiāo)售人員知道我告訴了你們這個(gè)：實(shí)際上，“安全托管供應(yīng)商”不會(huì)自動(dòng)轉(zhuǎn)換到安全應(yīng)用上。

移動(dòng)威脅如何?

你可能還想專(zhuān)心致志于OWASP的移動(dòng)企業(yè)十大安全漏洞列表。

最近的新聞表明，云供應(yīng)商要處理另外一個(gè)安全問(wèn)題，當(dāng)涉及到國(guó)家安全局使用卑劣的手段得到他們想的信息時(shí)。營(yíng)銷(xiāo)和監(jiān)督之外,軟件質(zhì)量專(zhuān)業(yè)人員需要繼續(xù)(或開(kāi)始)沿著小路走，這條路已經(jīng)被證明有助于支撐軟件的安全漏洞。

事實(shí)證明輕易就得到是最根本的缺陷，研究一次又一次表明這一缺陷是應(yīng)用安全問(wèn)題的根源所在。在這里Pareto定律的應(yīng)用很好：20%的漏洞創(chuàng)造80%的問(wèn)題。這正是你需要關(guān)注的地方。

OWASP的2013年十大項(xiàng)目是一個(gè)很好的學(xué)習(xí)地方。一旦你修復(fù)了常見(jiàn)的應(yīng)用漏洞，且準(zhǔn)備好解答云安全相關(guān)的問(wèn)題時(shí)，那么你就更近一步地跟上了威脅的步伐，并先調(diào)查者幾步，甚至先于你的競(jìng)爭(zhēng)對(duì)手。

有一件事你需要記于心中，那就是這些之中的一些web相關(guān)的安全利用需要，或者至少是幫助了易受攻擊的主機(jī)來(lái)訪問(wèn)你的應(yīng)用(如，Java、Adobe系統(tǒng)，及相關(guān)的瀏覽器端的利用)。因?yàn)橛腥嗽谪?fù)責(zé)軟件質(zhì)量的安全，所以你不能控制方程式的另一端，但你至少可以盡你最大的努力，來(lái)確保你的應(yīng)用相當(dāng)?shù)匕踩也灰@個(gè)問(wèn)題出現(xiàn)。