配置测试不仅应该是整个开发过程中必不可少的步骤,而且在安装新应用程序以在 Web 和应用程序服务器上使用的过程中也很重要。如果没有适当的测试,应用程序通常会失败或容易受到漏洞影响。暴露于黑客或病毒的攻击可能会导致不必要的费用和花费过多的时间来纠正这些问题。应用程序开发人员忽略配置测试的需求并不罕见,因为他们认为使用像 Chef、Puppet 或其他系统这样的自动化方法来测试他们产品的部署就可以了。他们认为,通过使用这些完全自动化的流程,他们可以测试一致性、充分再现输出并确定事情是否按预期工作。
为什么自动化测试还不够
自动化测试套件就是这样——自动化。这些工具是通用的,并非旨在真正了解您的产品或实际上能够根据可能发生的任何问题检测缺陷。这些自动化测试方法缺乏模拟可能出现的与您的特定应用程序和配置相关的不同更改的能力。由于防火墙更改、安全配置更改或作为快速解决问题而实施的补丁代码更改,可能会出现问题。
开发软件应用程序的整个过程需要复杂且耗时的过程,例如规划、构建、测试和部署产品。开发最重要的方面之一是部署阶段的安全测试。在前端测试身份验证和授权技术以及密码保护的传统方法确实存在。开发人员可能知道需要在应用程序的初始源代码上实现和测试什么安全性,但他们可能不具备在完整的集成系统或操作环境下测试应用程序的必要知识。例如,他们可能不了解托管 Web 应用程序的服务器,或者是否有有效的SSL 证书是安全配置所必需的,或者对防火墙的更改可能如何影响安全问题。测试配置问题是安全测试的一个主要特征,应该实施以防止潜在的攻击。
每个人都参与过程的案例
即使是最复杂的安全工具也无法与经验丰富的安全测试人员竞争,他们知道系统的安全问题,包括安全漏洞的根本原因、找到原因的测试技术、修复它所需的补救措施或对策。使用不测试或不知道您的安全问题的人或方法只会导致给您一种错误的安全感。
例如,当开发人员发布补丁解决编码问题时,您如何知道如何清楚地使用补丁,补丁是否易于实现或补丁如何影响其他组件?通常,这些补丁或更改无法与其他人轻松沟通或从未成功实施。配置测试可确保所有更改都易于访问,轻松与当前系统和要求集成,并且流程中涉及的每个人都始终保持最新状态。
每个团队在流程中都有自己的位置
您的团队应该通过提供有关他们最了解的内容的意见,在各个阶段独立使用他们的技能。开发团队应该专注于应用程序的构建;而安全团队应该专注于安全测试,而您的运营团队应该负责合规性和验证过程。通过实施测试方法,每个人在他们可以完全访问的过程中都有发言权,可以消除错误,并且可以针对他们的特定责任领域顺利实施更改。当出现配置和安全问题时,不应要求开发团队学习新代码或测试新框架。安全团队可以在保护站点内容方面发挥重要作用,并且可以负责对 Web 服务器或应用程序服务器配置的要求。系统管理员具有了解如何配置服务器以及应考虑的通用准则的必要知识。当在流程的早期应用这些知识时,可以及早解决问题和漏洞,并且通常可以降低实施成本。
最后但并非最不重要的:需要分享
团队将能够就他们的配置测试想法进行协作,并分担个人和整体配置测试的职责。每个人都会受益;消除了重复工作,定义了系统配置并轻松记录了信息,轻松改进了沟通和协作,并减少了花费的时间和金钱,以实现每次变更的有效结果。使用配置测试可确保所有团队成员都能轻松获得应用程序开发的充分沟通、监控和文档。团队之间的沟通将培养“跳出框框”的思维。通常,良好安全性的用例只会测试人们预期会发生的情况。很少有自动化方法真正测试会破坏应用程序或导致应用程序以不安全方式失败的异常情况。由于自动化方法通常无法捕捉到这些不寻常的案例,因此组织必须考虑使用创造性思维技术出现的其他案例。创造性思维通常可以帮助确定可能导致应用程序失败的原因以及如何帮助提前避免或解决任何问题。
您可以放心,您的团队将能够定义、共享和运行正确的配置测试,以确保满足您公司目标的质量。使用正确的配置测试实际上可以缩小未来安全风险成本的差距,方法是在出现问题之前解决它们。通过使用配置测试和实施持续集成作为团队发布管理策略的一部分,您可以在不牺牲质量或性能的情况下加快发布产品的时间。
文章链接: https://www.mfisp.com/7876.html
文章标题:DevOps的配置和安全管理
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
