判斷Web Security 入侵個跡象 這篇文章主要說明網站受到入侵的幾個重要的跡象, 一般的防火牆或是 IDS也是根據這樣的跡象來偵測並且採取並要的行動。 主要參考 OWASP 組織中,Appensor 這個專案所定義的相關建議。 通常一個入侵可能是多種跡象的結合,為減少誤判機率,會在加上時間軸內發生的次數與異常頻率。 這些設定的組合就會形成一個入侵偵測與防火牆的 rule。 Request Exception 這類指的主要是client端送到 Web Server時,Http Request的異常行為,舉幾個例子 網站只有支援…
測試宣言與未來的目標
測試宣言與未來的目標 這篇文章主要說明用一個簡單的檢核表,評估目前測試的環境、文化與政策,必且可以用來決定下一步,應該可以導入或是採取的行動。 測試宣言 目前這樣 未來應該要這應做 測試應該要確定解決商業問題 測試工作的優先順序應該要根據風險來決定並且提早找出重大風險。 專案測試的文件應該適當保存與版本控管。 產品出貨前或是出貨後找的瑕疵所造成的成本都加以衡量與紀錄。 測試個案的測試與軟體測試相互獨立運作。 專案建置實作完成之後,定期做持續改善的檢討 每一個專案結束後,都會定期的持續改善檢討整個開發與測試的流程。 測試文件包含測試計畫、測試條件、測試個案規格 對於測試、開發與經理應該都接受相關的測試訓練。 所有被開發團隊 (非測試團隊)發現的瑕疵應該都要被記錄下來。這些發現包含 Unit Testing 所發現的瑕疵,並且將這樣的瑕疵與發現的過程交接與測試團隊。…
Infrastructure as Code 使用 puppet 部署開發、測試與線上環境
Infrastructure as Code 使用 puppet 部署開發、測試與線上環境 這篇文章主要說明開發測試環境所遇到的挑戰,為什麼要用 puppt, 如何運用 puppet 解決相關環境佈署的問題, 最後也用幾個實例,說明如何安裝與佈署環境設定。 DevOps 環境的挑戰 開發與測試團隊不斷的在推出新的功能與服務, 另一方面維運團隊需要控管線上所有相關的修改, 這兩者的功能性目標有些衝突。 因此, 對於研發團隊來說,如何可以更快速的佈署環境,確保測試開發環境與線上環境的一致性? 對於維運團隊來說,如何有效地做系統改變版本的控管與多台伺服器間的佈署?…