作家
登录
17滚动

中小型商业银行的软件安全测试之道

作者: 来源: 2017-10-19 09:29:44 阅读 我要评论

“GATE+”安然测试治理模式

沙龙晃荡 | 去哪儿、陌陌、ThoughtWorks在主动化运维中的实践!10.28不见不散!


跟着移动应用、互联网+时代的到来,几乎每个银行的都已经把重要的营业搬到互联网和移动互联网上来。随之而给带来了两个重大年夜的趋势:

  • 一方面,软件外包开辟空前的繁华起来,银行除了要供给网上银行,德律风银行的营业,还要供给手机银行,银行APP, 收集付出、各类投资和理财营业APP等等。越来越多的银行营业须要更周全、功能更多、更强大年夜的软件应用体系来支撑,这实在给本来就“压力山大年夜”贸易银行科技部(软件开辟处)带来了不小的挑衅。
  • 另一个方面,信息安然、小我隐私受到了越来越大年夜的威逼。收集安然事宜,小我隐私泄漏,收集站点被黑等等事宜几乎天天可以看到。所以国度在本年6月1日及时地颁布了《收集安然法》,欲望大年夜司法层面,给社会各界供给有力的根据,公同保护互联网安然情况。

个中,如今收集安然进击事宜赓续频发的一个重要原因,就是大年夜量定制化外包开辟出来的软件应用体系的源代码中都存在着各类各样的安然马脚,极易受到黑客进击。这一点,我们可以大年夜国内多家安然马脚曝光平台上可以看出(国内重要的曝光平台有,360公司补天、马脚盒子等),几乎各行各业的网站体系都邑存在安然马脚。个中不乏大年夜型国企、央企、大年夜中型贸易银行、高校和科研单位等等。

2016年收集安然事宜与源代码安然马脚

面对上述严格的收集安然形势,作为关系到国计平易近生、和老庶平易近的“钱”互相干注的贸易银行,绝对不克不及再仅靠传统的几大年夜件收集安然防护设备来解决问题。

正如上文所说,今朝所面对的安然问题都是我们自立研发或者外包开辟出来的定制化软件体系存在安然马脚而导致的。而今朝我国的绝大年夜多半贸易银行的软件体系开辟是外包开辟为主,由银行内所设置的科技部和信息体系部来治理。行方人员为数较少,经常都是一人身兼数职,同时也没有相对专业的软件安然治理人员。

针对中小型贸易银行的软件开辟特点,我们如不雅照样大年夜谈如安在贸易银行内部建立完全的SDLC安然开产生命周期来包管软件的安然性就显得异常的不且实际。今天,我们就来聊一聊大年夜部分为外包开辟模式的贸易银行,用什么办法来保障本身所定制开辟的软件体系、WEB站点以及移动APP等应用体系的源代码的安然性。

那么如安在外包开辟模式下有效地对软件应用体系进行安然保障呢?换句话说,如安在“只有一个行方的开辟项目经理,且方经理身兼多个项目”的情况下,又确保源代码是安然的?

根据我小我多年经验的总结,并结合外担保理的一些办法,我认为,在软件外担保理中惹人软件源代码安然测试体系,建立强迫性的源代码“安然验收”机制是最有效、最便利的手段。它可以大年夜源代码层面上包管软件体系的安然性。这个“安然验收”机制若何建立才能即知足甲方安然保障的须要,又能让外包开辟办事商积极地合营安然马脚的检测和修复工作呢? 我们将其总结为一个“GATE+” 源代码安然测试治理模式,具体解释如下图所示:

“GATE+”安然测试治理模式

如上图所示,“GATE+”模式的重要思惟就是,在外包开辟治理中惹人软件源代码的安然测试体系,对外包办事商所交付的软件体系的源代码进行安然性验收测试。如不雅交付的源代码存在易被进击的安然马脚,须要外包商进行安然修复,直至这些马脚全部被清除,这个体系才能够验收,进行上线安排。该模式的几个关键点解释如下:

1. 行方制订并宣布明白的《软件源代码安然测实验收标准》

软件源代码安然验收测试,一个简荡竽暌怪高效的软件安然保障手段,固然已经提出多年,然则如不雅没有一个有效的模式为基本,则只会让贸易银行,外包商,开辟人员,安然人员和项目治理人员徒增懊末路。思客云找八哥体系以供给最佳“源代码安然测试”整体解决筹划为己任,欲望可以或许给您供给须要的赞助!

由行方安然部分和开辟项目经理结合专业的软件安然咨询参谋合营制订出明白的,相符甲方安然请求的《软件源代码安然测实验收标准》,并由行方威望部分正式宣布,即上图中的“红线”。这是源代码安然验收时必须遵守的,也是最后的一道防地,由“行方开辟项目经理”对标红线的进行各个项目标安然检查和验收。

与之相对应的是外包开辟过程中的一个“虚黄线”。该虚黄线的意思是开辟商可以在项目开辟初期就明白地闪开辟人员知道将来的源代码验收标准,开辟人员就可以提前预防,提前做好技巧上的规避筹划。如许一来,外包商和开辟人员就会加倍积极主动的合营安然马脚的检查和修复工作。

2. 建立一个便利、高效的软件源代码安然测试治理平台

可能有安然治理人员会认为源代码安然测试,直接找专业的第三方安然测试机构或者安然公司进行测试办事就可以了,不须要由行方自建源代码安然治理平台。

但根据经验,由甲方自建安然测试治理平台是异常有须要的。这是因为,如不雅把验收测试交由第三方来测试时,那势必安然测试只能在项目验收时进行一次到两次的测试。测试频度太低,时光后置,如许只能会造成“仓促地”测试和验收,外包人员“极不宁愿地”合营和“敷衍式”修复马脚的局面。一旦形成如许的情况,那膳绫擎行方项目经理的“安然验收”工作就会越来越难开展,也无法包管质量,慢慢地就只是留于“形势”了。

 1/2    1 2 下一页 尾页

  推荐阅读

  iPhone 诈骗又出新招,别看见弹窗就输密码

当你的 iPhone 出现如许的弹窗时,你的第一反竽暌功是什么?我信赖大年夜多半人都邑急地点脑海里回想本身的 Apple ID 账号和暗码,记起来之后,把响应的内容填写进去。但,细心想想,我们怎么确保这个弹>>>详细阅读


本文标题:中小型商业银行的软件安全测试之道

地址:http://www.17bianji.com/lsqh/38017.html

 1/2    1 

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

进入专栏
精彩导读
栏目ID=71的表不存在(操作类型=0)
科技快报
© 2013-2016 IT技术  京ICP备11016124号-4   

京公网安备 11011202000261号
网站介绍 合作联系 寻求报道 投稿指南 网站地图 XML地图