云测试环境：安全第一

作者：佚名 2016-07-06 16:10:51

云计算 云时代，测试环境的安全与否对于开发者来讲至关重要。如果一个测试环境中不能具有以下几点因素，那么任何开发商都应该注意，你的测试环境可能面临太多安全问题。一个真正的软件测试服务至少应该对测试数据的安全进行保障，否则你的测试努力，会是谁的测试结果呢?

　　云时代，测试环境的安全与否对于开发者来讲至关重要。是否会有人访问了你的测试数据、源代码和设计原则，这一问题对今天的商业世界来讲是十分重要的问题。如今，更多的开发模式采用了复杂而高效的新驱动构架，测试环境安全变得更为突出。

　　测试环境安全地位不足

　　过去，独立的测试系统和严苛的网络环境可能会减缓这一问题，可在现在来讲，问题的本质已经发生了变化。越来越注重合作和交流的时代，导致了安全情况越发严重。测试的应用程序很容易暴露在公共网络中，给软件和企业的安全带来极大困扰。

　　对于专业的软件开发或者测试公司来讲，他们可以做到集中开发测试解决问题。但是大多数公司开发和测试的过程会涉及到异地操作，由员工、开发商和服务商多方面共同监督修改，依靠互联网进行数据传输，典型的便是云业务的测试环节。

[[168274]]

　　测试环境面临较大风险

　　如今，大多数的公司都能意识到软件安全性的重要，但是对于测试环境的安全意识却并不尽如人意。对于很多公司来讲，基于互联网的测试服务可以从经济和实用角度获益，但从内网转变到互联网，测试环境的危险性增加何止数倍，危险也会由此而来。

　　危机四伏

　　那么如果有外界入侵了公司的测试数据和环境，会带来怎样的危险呢?

　　测试环境面临风险众多

　　首先，知识产权的盗窃。在业务中并非每个人都会注意到这一点的存在，甚至包括技术部。但是对于技术供应商来讲，知识产权是他们最有价值的商品之一，也是公司的主要资产。这对小型公司和创业公司尤为重要，这部分可能是唯一会让此类公司超越高知名度大公司的机会。

　　对于专业人员来讲，IP窃取并不是件很困难的事情，其所包含的信息也很容易被复制、压缩、加密和传输。而当测试高技术含量的功能或者技术时，对于黑客来讲便是十分值得下手的知识产品。这种情况一旦发生，不仅公司的竞争力下降，开发延误、知识产权被抢等一系列后果都将是十分严重的。

　　产权和专利是企业核心竞争力之一

　　上面所提到的也正是所需要担心的第二点问题，竞争对手。任何一个行业都会存在不同程度的竞争，而测试也不例外。但是竞争对手可能不会像IP窃贼一样完全去盗窃你的知识和技术，但他们却需要获取同行的信息、计划、新技术和服务。

　　当此类信息被竞争对手获取后，他们则可以得知此类技术的优劣，学习的更快，甚至可能直接窃取测试结果，获得该产品。他们会和你一样了解产品的代码、功能、潜在问题以及应用程序中的薄弱环节，借此可以在新功能发布后他们开发出更为完善的产品，直到完全占据市场。

[[168275]]

　　背后有一系列的风险存在

　　再者，就是正常的隐私问题。当测试环境处于被劫持状态后，即便未在进行任何应用程序测试，设备依然面临危险，信息数据依然可能被盗。无关测试，也许是公司其他信息，可能是新的UI设计，可能是未公开的发布计划等均可能酝酿出重大的安全问题。

　　这时，攻击者就像是普通的黑客，闯入你的私人领域窃取相关信息并且发布在网上。原始测试数据被上传，公司专利技术变成公共知识，个人信息被窃取，所有的问题仅仅只是因为不安全的测试环境，这种危险绝非耸人听闻，而是正在发生的问题。

　　测试环境真正的安全

　　那么，要怎样的测试环境才能够算得上是安全呢?真正安全的环境应当有如下几个特点。

　　测试并非表面上的风平浪静

　　第一，测试专用虚拟机应当是一次性的。在测试中，每一个测试虚拟机都应该是动态的，用于单一的测试，结束后便直接销毁。虚拟机绝对不可以回收后再交给其他用户多次利用，也不可以为同一用户进行多次测试。

　　第二，确保通信安全。与测试系统相关联的通信系统应当通过安全的VPN通道连接。测试脚步和数据只需要将缓存暂时交给测试系统另一端的客户，而并非将之储存后再交出。而且一定要仅利用当前测试的虚拟机与客户进行相关的沟通。

　　企业测试为重，测试安全为重

　　第三，保证与外部没有更多沟通。在测试虚拟机中，除了连接客户的VPN通道和测试需要连接保留，其他一切与外网相互沟通的渠道都应该禁用。

　　第四，测试数据及其他构件不要现场存储。相关测试数据的存储只应该存在RAM测试服务器上，然后通过安全连接发送到客户端。而如果存储也是属于测试内容的一部分的话，这些存储应当存储在基于云的安全位置，并且在一定的时间内交由客户，由其自由处置。

　　如果一个测试环境中不能具有以上几点因素，那么任何开发商都应该注意，你的测试环境可能面临太多安全问题。一个真正的软件测试服务至少应该对测试数据的安全进行保障，否则你的测试努力，会是谁的测试结果呢?