由模糊測試想到的

模糊測試，通過規(guī)則生成大量輸入。而后將輸入注入到程序主體，并發(fā)現(xiàn)和記錄程序主體的異常。從信息安全角度而言，模糊測試是發(fā)現(xiàn)漏洞的有效方式。其依賴工具，由主體定義輸入的行為，使這種半自動(dòng)的方式非常適應(yīng)信息安全的漏洞挖掘。進(jìn)而得到代碼審計(jì)工作中的大量應(yīng)用。也有很多客戶在建設(shè)信息系統(tǒng)時(shí)，也會(huì)把這部分工作和信息安全提升到一定高度。并且從入侵的角度出發(fā)，結(jié)合滲透測試。得以梳理信息安全現(xiàn)狀，和威脅安全建模。

但是這只是其中的一部分，還需要參照OWASP模型。來約束測試過程。也就是我們測試工作需要遵守的規(guī)則和約束。而甲方也得以按照規(guī)則，通過約束過程來達(dá)到實(shí)現(xiàn)目的和結(jié)果。而在項(xiàng)目管理中，多廠商服務(wù)商交錯(cuò)的格局，對于甲方而言，只需要根據(jù)多方情況匯總。就可以梳理威脅建模中的重要危害項(xiàng)。

這也是目前信息安全和項(xiàng)目建設(shè)的融合。即以往信息安全的切入點(diǎn)由項(xiàng)目交付后的安全建設(shè)，提前到代碼上線前的審計(jì)--發(fā)現(xiàn)漏洞，并通過滲透測試驗(yàn)證漏洞的可利用性及危害程度。

這就是為什么我一再提出要求對代碼進(jìn)行內(nèi)部審計(jì)和測試的原因。