第三方渗透测试:范围咋定?需供应商同意吗?
首先来讲啥叫第三方渗透测试?就是找专门的、独立于被测试方和使用方的第三方机构,来主动攻击被测试系统,帮找出系统里潜在弱点,以评估系统安全啥样的一种测试!咱得清楚它超关键在让产品到用户手里前,这种测试真的必不可少耶!
一、检测的范围到底咋的
进行第三方渗透测试的时候那测试范围可得整得足够广泛。它不是只关注软件本身咧,得涵盖整个系统。像存放设备那地点的安全性,在线系统跟联络中心之间的交互通通都在考虑范围内!一定要确保不能让人用离线信息去利用在线系统!比如说让联络中心团队改用户电子邮件地址,接着用忘记密码功能去访问人账户,这种情况该咋避免,都得好好测
二、需不需要第三方供应商同意
如果准备把第三方供应商的软件当测试一部分审核,那必须获得人家第三方供应商明确同意一定要好好检查自己的法律合同,保证里面确认此事咯!要是没搞清楚这事,那后续一堆麻烦可就来了所以前期务必落实相关同意授权
三、干吗选第三方软件检测机构
在进入公开测试版,或者开始使用真实用户数据前,去选个第三方软件检测机构服务蛮不错。他们能帮助咱确认内部测试是不是足够行了,还能出权威的软件测试报告有了这就能省去好多没必要的麻烦,要不自己搞这一堆测试再到出报告,指不定哪就有疏忽
四、怎么找第三方软件检测机构
在市场里头找靠谱的第三方软件检测机构那是有窍门比如说可以选那像一航软件测评中心这样国家授权,它专业资质杠杠滴,也能给企业出专业软件测试报告您在寻找的时候,可以优先考虑国家承认有资质的机构,这样起码测试结果可信度高
接下来咱搞些问答可能大伙心中正有这些疑问
问:那第三方渗透测试得搞多久
答:这个时间长短不固定。得看系统规模,小点的系统大概几天到一周能完成测试,要是大型复杂系统那就没准得几周了总之过程可得认真细心测
问:检测结果能全面呈现系统安全情况不?
答:咋说,大多数情况下,第三方渗透测试能较全面呈现。不过哪有百分百完美,可能偶尔有些小隐蔽的漏洞疏漏也是有的所以不能说完全精确的,但是至少大部分问题会暴露
对比一下,如果咱不做第三方渗透测试,潜在漏洞不自知,产品到用户手里那风险可不小;做了这么专业测试,心里有底了很多。能提早发现风险再去修复,对系统长久安全运行有大大的好处我自己认为搞第三方渗透测试真的得重视!