云時(shí)代，測(cè)試環(huán)境的安全與否對(duì)于開(kāi)發(fā)者來(lái)講至關(guān)重要。是否會(huì)有人訪問(wèn)了你的測(cè)試數(shù)據(jù)、源代碼和設(shè)計(jì)原則，這一問(wèn)題對(duì)今天的商業(yè)世界來(lái)講是十分重要的問(wèn)題。如今，更多的開(kāi)發(fā)模式采用了復(fù)雜而高效的新驅(qū)動(dòng)構(gòu)架，測(cè)試環(huán)境安全變得更為突出。

　　測(cè)試環(huán)境安全地位不足

　　過(guò)去，獨(dú)立的測(cè)試系統(tǒng)和嚴(yán)苛的網(wǎng)絡(luò)環(huán)境可能會(huì)減緩這一問(wèn)題，可在現(xiàn)在來(lái)講，問(wèn)題的本質(zhì)已經(jīng)發(fā)生了變化。越來(lái)越注重合作和交流的時(shí)代，導(dǎo)致了安全情況越發(fā)嚴(yán)重。測(cè)試的應(yīng)用程序很容易暴露在公共網(wǎng)絡(luò)中，給軟件和企業(yè)的安全帶來(lái)極大困擾。

　　對(duì)于專業(yè)的軟件開(kāi)發(fā)或者測(cè)試公司來(lái)講，他們可以做到集中開(kāi)發(fā)測(cè)試解決問(wèn)題。但是大多數(shù)公司開(kāi)發(fā)和測(cè)試的過(guò)程會(huì)涉及到異地操作，由員工、開(kāi)發(fā)商和服務(wù)商多方面共同監(jiān)督修改，依靠互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸，典型的便是云業(yè)務(wù)的測(cè)試環(huán)節(jié)。

　　測(cè)試環(huán)境面臨較大風(fēng)險(xiǎn)

　　如今，大多數(shù)的公司都能意識(shí)到軟件安全性的重要，但是對(duì)于測(cè)試環(huán)境的安全意識(shí)卻并不盡如人意。對(duì)于很多公司來(lái)講，基于互聯(lián)網(wǎng)的測(cè)試服務(wù)可以從經(jīng)濟(jì)和實(shí)用角度獲益，但從內(nèi)網(wǎng)轉(zhuǎn)變到互聯(lián)網(wǎng)，測(cè)試環(huán)境的危險(xiǎn)性增加何止數(shù)倍，危險(xiǎn)也會(huì)由此而來(lái)。

　　危機(jī)四伏

　　那么如果有外界入侵了公司的測(cè)試數(shù)據(jù)和環(huán)境，會(huì)帶來(lái)怎樣的危險(xiǎn)呢?

　　測(cè)試環(huán)境面臨風(fēng)險(xiǎn)眾多

　　首先，知識(shí)產(chǎn)權(quán)的盜竊。在業(yè)務(wù)中并非每個(gè)人都會(huì)注意到這一點(diǎn)的存在，甚至包括技術(shù)部。但是對(duì)于技術(shù)供應(yīng)商來(lái)講，知識(shí)產(chǎn)權(quán)是他們最有價(jià)值的商品之一，也是公司的主要資產(chǎn)。這對(duì)小型公司和創(chuàng)業(yè)公司尤為重要，這部分可能是唯一會(huì)讓此類公司超越高知名度大公司的機(jī)會(huì)。

　　對(duì)于專業(yè)人員來(lái)講，IP竊取并不是件很困難的事情，其所包含的信息也很容易被復(fù)制、壓縮、加密和傳輸。而當(dāng)測(cè)試高技術(shù)含量的功能或者技術(shù)時(shí)，對(duì)于黑客來(lái)講便是十分值得下手的知識(shí)產(chǎn)品。這種情況一旦發(fā)生，不僅公司的競(jìng)爭(zhēng)力下降，開(kāi)發(fā)延誤、知識(shí)產(chǎn)權(quán)被搶等一系列后果都將是十分嚴(yán)重的。

　　產(chǎn)權(quán)和專利是企業(yè)核心競(jìng)爭(zhēng)力之一

　　上面所提到的也正是所需要擔(dān)心的第二點(diǎn)問(wèn)題，競(jìng)爭(zhēng)對(duì)手。任何一個(gè)行業(yè)都會(huì)存在不同程度的競(jìng)爭(zhēng)，而測(cè)試也不例外。但是競(jìng)爭(zhēng)對(duì)手可能不會(huì)像IP竊賊一樣完全去盜竊你的知識(shí)和技術(shù)，但他們卻需要獲取同行的信息、計(jì)劃、新技術(shù)和服務(wù)。

　　當(dāng)此類信息被競(jìng)爭(zhēng)對(duì)手獲取后，他們則可以得知此類技術(shù)的優(yōu)劣，學(xué)習(xí)的更快，甚至可能直接竊取測(cè)試結(jié)果，獲得該產(chǎn)品。他們會(huì)和你一樣了解產(chǎn)品的代碼、功能、潛在問(wèn)題以及應(yīng)用程序中的薄弱環(huán)節(jié)，借此可以在新功能發(fā)布后他們開(kāi)發(fā)出更為完善的產(chǎn)品，直到完全占據(jù)市場(chǎng)。

　　背后有一系列的風(fēng)險(xiǎn)存在

　　再者，就是正常的隱私問(wèn)題。當(dāng)測(cè)試環(huán)境處于被劫持狀態(tài)后，即便未在進(jìn)行任何應(yīng)用程序測(cè)試，設(shè)備依然面臨危險(xiǎn)，信息數(shù)據(jù)依然可能被盜。無(wú)關(guān)測(cè)試，也許是公司其他信息，可能是新的UI設(shè)計(jì)，可能是未公開(kāi)的發(fā)布計(jì)劃等均可能醞釀出重大的安全問(wèn)題。

　　這時(shí)，攻擊者就像是普通的黑客，闖入你的私人領(lǐng)域竊取相關(guān)信息并且發(fā)布在網(wǎng)上。原始測(cè)試數(shù)據(jù)被上傳，公司專利技術(shù)變成公共知識(shí)，個(gè)人信息被竊取，所有的問(wèn)題僅僅只是因?yàn)椴话踩臏y(cè)試環(huán)境，這種危險(xiǎn)絕非聳人聽(tīng)聞，而是正在發(fā)生的問(wèn)題。

　　測(cè)試環(huán)境真正的安全

　　那么，要怎樣的測(cè)試環(huán)境才能夠算得上是安全呢?真正安全的環(huán)境應(yīng)當(dāng)有如下幾個(gè)特點(diǎn)。

　　測(cè)試并非表面上的風(fēng)平浪靜

　　第一，測(cè)試專用虛擬機(jī)應(yīng)當(dāng)是一次性的。在測(cè)試中，每一個(gè)測(cè)試虛擬機(jī)都應(yīng)該是動(dòng)態(tài)的，用于單一的測(cè)試，結(jié)束后便直接銷毀。虛擬機(jī)絕對(duì)不可以回收后再交給其他用戶多次利用，也不可以為同一用戶進(jìn)行多次測(cè)試。

　　第二，確保通信安全。與測(cè)試系統(tǒng)相關(guān)聯(lián)的通信系統(tǒng)應(yīng)當(dāng)通過(guò)安全的VPN通道連接。測(cè)試腳步和數(shù)據(jù)只需要將緩存暫時(shí)交給測(cè)試系統(tǒng)另一端的客戶，而并非將之儲(chǔ)存后再交出。而且一定要僅利用當(dāng)前測(cè)試的虛擬機(jī)與客戶進(jìn)行相關(guān)的溝通。

　　企業(yè)測(cè)試為重，測(cè)試安全為重

　　第三，保證與外部沒(méi)有更多溝通。在測(cè)試虛擬機(jī)中，除了連接客戶的VPN通道和測(cè)試需要連接保留，其他一切與外網(wǎng)相互溝通的渠道都應(yīng)該禁用。

　　第四，測(cè)試數(shù)據(jù)及其他構(gòu)件不要現(xiàn)場(chǎng)存儲(chǔ)。相關(guān)測(cè)試數(shù)據(jù)的存儲(chǔ)只應(yīng)該存在RAM測(cè)試服務(wù)器上，然后通過(guò)安全連接發(fā)送到客戶端。而如果存儲(chǔ)也是屬于測(cè)試內(nèi)容的一部分的話，這些存儲(chǔ)應(yīng)當(dāng)存儲(chǔ)在基于云的安全位置，并且在一定的時(shí)間內(nèi)交由客戶，由其自由處置。

　　如果一個(gè)測(cè)試環(huán)境中不能具有以上幾點(diǎn)因素，那么任何開(kāi)發(fā)商都應(yīng)該注意，你的測(cè)試環(huán)境可能面臨太多安全問(wèn)題。一個(gè)真正的軟件測(cè)試服務(wù)至少應(yīng)該對(duì)測(cè)試數(shù)據(jù)的安全進(jìn)行保障，否則你的測(cè)試努力，會(huì)是誰(shuí)的測(cè)試結(jié)果呢?