軟件安全問(wèn)題一直是每個(gè)用戶(hù)最關(guān)心的問(wèn)題，誰(shuí)也不想自己的隱私泄露出去，這個(gè)時(shí)候軟件企業(yè)對(duì)軟件產(chǎn)品的安全測(cè)評(píng)就顯得格外的重要，下面一航軟件測(cè)評(píng)的小編就為大家說(shuō)說(shuō)軟件測(cè)評(píng)保證軟件安全的重要性。

軟件成了公司發(fā)展的“敲門(mén)磚”

       每個(gè)現(xiàn)代企業(yè)都使用大量軟件。一些企業(yè)軟件是自主開(kāi)發(fā)的，但絕大多數(shù)企業(yè)軟件是由外部供應(yīng)商構(gòu)建和維護(hù)的第三方軟件。第三方軟件本身有多種形式：它可以根據(jù)規(guī)范定制，它可以是商業(yè)現(xiàn)貨軟件 (COTS)，它可以作為軟件即服務(wù) (SaaS) 的一部分存在于云中模型。

許多大公司正在努力解決供應(yīng)商控制和供應(yīng)鏈安全問(wèn)題。當(dāng)涉及向金融服務(wù)組織提供商品的軟件供應(yīng)商時(shí)，這一點(diǎn)尤其明顯。一家典型的跨國(guó)銀行擁有數(shù)千家供應(yīng)商，其中數(shù)百家供應(yīng)商直接影響軟件安全狀況。

       大公司正忙于探索軟件安全和供應(yīng)商控制的兩個(gè)基本選項(xiàng)。第一個(gè)涉及直接評(píng)估特定軟件的安全性。第二個(gè)涉及衡量供應(yīng)商的軟件安全能力。這兩種方法都很有價(jià)值。

第三方軟件安全保障：直接測(cè)量軟件

       軟件測(cè)量的劣度計(jì)方法與滲透測(cè)試的理論相同——嘗試破壞一些東西，看看你能走多遠(yuǎn)。這個(gè)想法是針對(duì)給定的應(yīng)用程序執(zhí)行一系列簡(jiǎn)單的黑盒測(cè)試。如果預(yù)設(shè)測(cè)試破壞了軟件，您就知道它確實(shí)很糟糕，不應(yīng)該被信任。（另一方面，如果預(yù)制測(cè)試不會(huì)破壞軟件，那么您有非常少量的證據(jù)表明該軟件是安全的。）

       badness-ometers 的好消息是它們的應(yīng)用簡(jiǎn)單且成本低廉，尤其是在測(cè)量第三方代碼時(shí)。只需將測(cè)試對(duì)準(zhǔn)相關(guān)應(yīng)用程序即可。如果應(yīng)用程序未通過(guò)測(cè)試，則讓供應(yīng)商知道他們構(gòu)建的應(yīng)用程序不夠好，無(wú)法使用。像 Veracode 和我的公司 Cigital 這樣的公司甚至?xí)槟M(jìn)行此類(lèi)測(cè)試。在很大程度上，直接測(cè)量方法足夠便宜，您可以將其應(yīng)用于您的整個(gè)投資組合。

       直接測(cè)量有兩個(gè)主要缺點(diǎn)。首先是軟件總是在變化，直接測(cè)量?jī)H限于粗略的時(shí)間點(diǎn)外觀。想想您所依賴(lài)的軟件自動(dòng)更新自身的頻率，并將該數(shù)字乘以不同的平臺(tái)、地理位置、軟件環(huán)境等。

       以上就是軟件測(cè)評(píng)的一些介紹，其實(shí)軟件企業(yè)的這些煩惱完全可以交給第三方軟件測(cè)評(píng)機(jī)構(gòu)來(lái)完成，他們更加專(zhuān)業(yè)、更加權(quán)威，還能出具相應(yīng)的軟件測(cè)試報(bào)告給到企業(yè)完成所需。一航軟件測(cè)評(píng)是國(guó)家授權(quán)的軟件檢測(cè)服務(wù)機(jī)構(gòu)，具備相應(yīng)的檢測(cè)服務(wù)資質(zhì)，是眾多軟件企業(yè)合作的好伙伴。