测试软件漏洞

Question

现在有点进退两难，..And，很抱歉我有点泛化了。

我是一家公司的IT管理员，我们有一个小的定制构建软件正在使用的一个部门，这是开发的internally.Nobody似乎有它的源代码，并创建它的员工已经离开。(这一切都发生在我加入之前)

现在，作为安全合规性实现的一部分，我需要测试该软件的漏洞。我有IT基础设施的背景，不知道该怎么做。

你们中有人能给我指个方向吗？

谢谢

Answer 1

1. DIY

您可以自己执行许多“黑盒”测试。

最容易执行的是基于web的工具，它们将扫描众所周知的问题。像Qualys这样的公司(只是引用最知名的玩家，而不是背书)提供了所需的工具来生成安全报告，该报告可能(也可能不)足以证明符合(或不符合)您的要求。

提到的公司甚至免费提供其中的一些，前提是可以通过互联网到达测试目标。更高级的选项显然不是免费的。

2.外部审计

或者，您可以寻求熟悉您寻求遵守的规则/法规的审计师，并让他们证明它是符合的。要找到一个愿意在黑盒系统上工作的人可能很棘手，这取决于您想要证明遵守的特定规则/法规。

3.道德黑客

另一种选择是雇佣一家公司，通过使用类似的工具进行审计，你可以在第一阶段自己做，根据这些结果，他们可能实际上部署了一名熟练的黑客入侵系统。如果他们擅长他们所做的事情，这将花费你很大的一笔钱，如果你允许他们有足够的预算来做这件事，他们肯定会打入其中。没有什么是100%安全的，尤其是。不是放弃的部署

之后的报告会列出你需要改进的地方(但由于你没有合理的方法去做……你唯一的目标就是得到一个合规的橡皮图章...