现在在汤中排序..并且抱歉有点通用。
我是一家公司的IT管理员,我们有一个由内部开发的部门之一使用的小型自定义构建软件。似乎没有人的源代码和创建它的员工离开了。 (这一切都发生在我加入之前)
现在,作为安全合规性实施的一部分,我需要测试此软件的漏洞。我来自IT基础架构背景,不知道如何解决这个问题。
你们当中有些人能指出我正确的方向
谢谢
答案 0 :(得分:0)
<强> 1。 DIY 强>
有很多&#34;黑盒子&#34;您可以自己进行测试。
最容易执行的是基于网络的工具,可以扫描众所周知的问题。像Qualys这样的公司(仅引用最知名的播放器,而不是认可)提供了生成安全报告所需的工具,该报告可能(或可能不)足以证明符合您的要求(或不合规)。
如果可以通过互联网访问测试目标,上述公司甚至可以免费提供其中一些。更高级的选项显然不会是免费的。
<强> 2。外部审计
或者,您可以寻求熟悉您要求遵守的规则/规定的审核员,并让他们证明其符合规定。根据您要证明符合的具体规则/规定,找到愿意在黑匣子系统上工作的人可能会很棘手。
第3。道德黑客
另一个选择是聘请一家公司,通过采用您可以在第一阶段自己完成的类似工具对其进行审核,并根据这些结果,他们可能实际上部署了一名技术娴熟的黑客进入系统。如果他们擅长自己所做的事情,那么它会花费你很多钱。如果你允许他们有足够的预算来做到这一点,那么他们就会确定他们会闯进来。[没有什么是100 %安全,尤其是没有放弃部署]
之后的报告将指出您需要做出的改进清单(但由于您没有合理的方法做到这一点......而您的唯一目标是获得合规橡皮图章......