所有人都說云因速度而聞名，但在云安全方面卻評價很低。在涉及到完全時，軟件質(zhì)量專業(yè)人士如何確保他們測試的應用已經(jīng)云就緒?

我一直對云持懷疑態(tài)度。可能是因為我常常在基于云的應用中找到令人不快的安全缺陷。而恰恰是這些應用因為“完美的”SSAE 16審計報告而常常存儲在數(shù)據(jù)中心中。不要讓銷售人員知道我告訴了你們這個：實際上，“安全托管供應商”不會自動轉(zhuǎn)換到安全應用上。

移動威脅如何?

你可能還想專心致志于OWASP的移動企業(yè)十大安全漏洞列表。

最近的新聞表明，云供應商要處理另外一個安全問題，當涉及到國家安全局使用卑劣的手段得到他們想的信息時。營銷和監(jiān)督之外,軟件質(zhì)量專業(yè)人員需要繼續(xù)(或開始)沿著小路走，這條路已經(jīng)被證明有助于支撐軟件的安全漏洞。

事實證明輕易就得到是最根本的缺陷，研究一次又一次表明這一缺陷是應用安全問題的根源所在。在這里Pareto定律的應用很好：20%的漏洞創(chuàng)造80%的問題。這正是你需要關(guān)注的地方。

OWASP的2013年十大項目是一個很好的學習地方。一旦你修復了常見的應用漏洞，且準備好解答云安全相關(guān)的問題時，那么你就更近一步地跟上了威脅的步伐，并先調(diào)查者幾步，甚至先于你的競爭對手。

有一件事你需要記于心中，那就是這些之中的一些web相關(guān)的安全利用需要，或者至少是幫助了易受攻擊的主機來訪問你的應用(如，Java、Adobe系統(tǒng)，及相關(guān)的瀏覽器端的利用)。因為有人在負責軟件質(zhì)量的安全，所以你不能控制方程式的另一端，但你至少可以盡你最大的努力，來確保你的應用相當?shù)匕踩?，而且不要這個問題出現(xiàn)。