世界頂尖的資訊安全(滲透式)測試國際業界標準、方法、範本

世界頂尖的資訊安全(滲透式)測試方法範本 這篇文章主要介紹幾個資訊安全測試相關業界的範本參考。 站在巨人的肩膀上學習,看看這些業界共同的資訊安全測試與設計範本。 由於這些範本因為由許多顧問、業界、學界等共同撰寫而成, 因此提供資訊安全測試與設計一個較完整的全貌。 也讓資訊安全測試與設計有比較容易遵循的方法與流程。 讓我們站在巨人的肩膀看看這些業界的範本。 Open Web Application Security Project Testing Guide (OWASP) ***筆者建議 (https://www.owasp.org/) Common Weakness Enumeration…

Read More

適用全公司的軟體品管品質政策 – 建立世界級的軟體品管制度與團隊

適用全公司的軟體品管品質政策 建立世界級的軟體品管制度與團隊 感謝讀者仔細的閱讀關於品質指標 “到底目前軟體品質的狀況如何? 軟體品質指標” 並且在專案上做一些實踐。 下一個問題是針對全公司的軟體專案來說,有沒有一個一致性的軟體品質制度呢? 筆者幸運的公司從13年前加入小公司到現在跨國亞洲最大的軟體公司, 如果公司要制訂一個軟體品質制度可以讓所有專案導入執行,有沒有什麼建議? 每個專案都不相同 由於專案的複雜度,時間周期、團隊大小、屬性,Cloud, Desktop, Mobile..等都不相同, 因此說要有一個全部適用的品質制度是有些難度,但是筆者列出”大部分” (不是全部)會執行的軟體品質制度與活動。 希望藉由這些比較一致性的做法提供讀者一些方向。 軟體品質政策 軟體品質政策包含三大部分: 測試環境 (公司品質政策、測試工具) 測試流程…

Read More

滲透式資訊安全測試結果報告範例

滲透式資訊安全測試結果報告範例 筆者公司因為處於資訊安全領域的頂尖地位,因此相關的軟體與測試對於資訊安全測試會特別注重。 除了內部有一定的資訊安全測試流程與評審外,在特定專案也會與知名的資訊安全顧問公司合作,針對整個專業的資訊安全進行測試與評估。 這樣的資訊安全測試最後的測試報告產出為何? 與一般軟體測試報告有什麼不同? 資訊安全測試報告應該要包含哪些要素? 這篇文章會以一個範例討論這些議題。   業界範例 這個組織 PTES (Penetration Testing Execution Standards) 主要將資訊安全測試分為七大步驟,其中測試報告結果建議範本如下: http://www.pentest-standard.org/index.php/Reporting http://www.vulnerabilityassessment.co.uk/report%20template.html 執行的七大步驟分別為: Pre-engagement…

Read More