测试/质量保证环境中生产数据的风险

Question

寻找与种子质量保证或生产数据测试环境相关的风险。

除了导致信息泄露的测试环境的妥协(如果数据是PHI时更糟)，还有人能说明与此实践相关的其他风险吗？

Answer 1

其风险本质上是，您对开发/测试环境的控制要少得多，更多的人将能够访问更多的数据，并且将以一种截然不同的方式使用和考虑这些数据。测试数据往往需要发送到第三方，跨越海洋，或其他地方，你无法控制它。

本质上，通过截图、电子邮件等方式将你的测试数据从数据库中提取出来。这不一定是恶意的，而且基本上不是。在大多数情况下，人们只会试图完成他们的工作。

如果数据在本质上像医疗记录一样敏感，你需要以某种方式将数据匿名，但仍然使其反映生产情况。

Answer 2

良好的测试环境通常应该与生产系统非常接近(如果不是完全相同的话)，包括所有相关的安全措施。

获取测试数据的最佳方法通常是定义包含每一个可能的用例的测试用例，但这有时会代表一项巨大的工作，因此有理由开发一些需要生产数据并隐藏其敏感特性的东西。

最后，这取决于生产数据的敏感程度，以及您是否可以信任您的员工。每一家企业都会让员工获得敏感数据，其中包括职员，他们经常会看到性质相当敏感的信用卡数据。