Ponemon學(xué)會最近的一項調(diào)查強(qiáng)調(diào)，許多應(yīng)用程序測試者和開發(fā)者在使用真正的生產(chǎn)數(shù)據(jù)的時候都沒有做好適當(dāng)?shù)谋Ｕ洗胧?，專家表示，現(xiàn)在是時候作出一些改變了。

有些時候披露客戶的數(shù)據(jù)并不需要什么外來的黑客，往往在應(yīng)用程序開發(fā)過程本身就會出現(xiàn)問題。

根據(jù)Ponemon學(xué)會最近的調(diào)查，那是因為許多企業(yè)在開發(fā)過程中使用生產(chǎn)數(shù)據(jù)的時候都沒有做好適當(dāng)?shù)谋Ｕ洗胧＜冶硎?，這是因為企業(yè)低估了內(nèi)部威脅的可能性;其他方面，公司很容易在一些容易的環(huán)節(jié)上出錯。

"企業(yè)會使用一些客戶的數(shù)據(jù)，那是因為對于開發(fā)者來說他們很容易在測試過程中復(fù)制一個數(shù)據(jù)庫的拷貝。這會花費(fèi)大多數(shù)的精力來對隱私數(shù)據(jù)進(jìn)行加密或者創(chuàng)建一個虛假的測試數(shù)據(jù)庫。"Forrester研究機(jī)構(gòu)分析師Mike Gualtieri說。

他的觀點得到了Ponemon調(diào)查的證實，Ponemon調(diào)查的重點對象為美國和英國的應(yīng)用程序開發(fā)者和測試者。在調(diào)查中，美國總共701個受訪的人中有71%的人表示，在開發(fā)和測試過程中，他們既沒有相應(yīng)的數(shù)據(jù)保護(hù)政策，也沒有保證數(shù)據(jù)的安全，這是一個嚴(yán)重的問題，因為80%的人都使用的是真實的數(shù)據(jù)。

通常情況下，企業(yè)根本不考慮內(nèi)部的威脅他們而是會考慮外部黑客攻擊，因此Gartner的分析師Joseph Feiman指出，這就是人們疏忽的地方。

"如果一個內(nèi)部人員、員工，攻擊企業(yè)，這就是所謂的最容易保守的秘密。"他說，"企業(yè)不希望損失他們的聲譽(yù)。因此他們必須提高內(nèi)部攻擊的警惕意識。"

開發(fā)者當(dāng)然會有一些使用真實數(shù)據(jù)的充分理由。分析師表示，畢竟這樣做節(jié)省了時間和復(fù)雜性。

"由于系統(tǒng)復(fù)雜性和相互依賴性的提升，對于開發(fā)團(tuán)隊來說越來越難建立現(xiàn)實的有代表性意義的測試數(shù)據(jù)。"Forrester一分析師David West解釋道："只有在用更少的人更快地交付功能的時候這些復(fù)雜性才會出現(xiàn)。這三個原因是缺乏有法律知識和相關(guān)數(shù)據(jù)的人。隨著時間的推移，數(shù)據(jù)結(jié)構(gòu)已經(jīng)發(fā)展到如下的程度：原標(biāo)簽和定義是錯誤的，或者至少有的時候是錯誤的。"

他說："最后的結(jié)果是開發(fā)團(tuán)隊只希望得到真正的數(shù)據(jù)，用于生產(chǎn)的數(shù)據(jù)。"

盡管如此，通過一些技術(shù)企業(yè)仍可以減少威脅，如數(shù)據(jù)屏蔽技術(shù)。盡管在過去5年間，數(shù)據(jù)屏蔽技術(shù)的采用已經(jīng)得到了提升，但是分析師表示，大多數(shù)的企業(yè)仍沒有采用這一技術(shù)。這是因為人們不能決定對什么數(shù)據(jù)進(jìn)行屏蔽，以及屏蔽多少數(shù)據(jù)。超過三分之二的美國受訪者告訴Ponemon學(xué)會他們在測試數(shù)據(jù)之前不會對數(shù)據(jù)進(jìn)行屏蔽和掩蓋。

不過Gualtieri則爭辯道，企業(yè)沒有借口在開發(fā)過程中不對數(shù)據(jù)進(jìn)行加密或掩蓋。

"我最近看到一個在線旅游預(yù)訂公司并沒有對數(shù)百名酒店客戶的信用卡號碼進(jìn)行加密。"他說，"我告訴CEO他們必須馬上解決這個問題。應(yīng)用開發(fā)的商店在加密過程中面臨的最大的困難是持續(xù)提供加密和解密的數(shù)據(jù)或制作密鑰。最好的方式是不要讓開發(fā)者做這件事情。無論在數(shù)據(jù)庫還是數(shù)據(jù)訪問層中都應(yīng)該實現(xiàn)自動化。例如，如果他們編寫Java程序你可以使用Spring framework對命名字段進(jìn)行自動化的加密。這種方式其實開發(fā)人員不必牢記。"