在過去十年中，網(wǎng)絡安全一直是最重要的趨勢之一，現(xiàn)在變得更加重要，這主要是因為正在進行更多的遠程工作。從勒索軟件到網(wǎng)絡間諜，黑客已經(jīng)開發(fā)出復雜的技術來侵入企業(yè)的項目/數(shù)據(jù)，獲取關鍵信息或索要贖金。

就連佳能、Garmin、Twitter、本田和Travelex等知名企業(yè)也曾成為惡意攻擊者的受害者。數(shù)據(jù)泄露對企業(yè)或項目來說可能是一場災難，破壞客戶的信任，破壞公司的聲譽。

許多項目經(jīng)理仍然認為項目安全是其他人的責任——軟件架構(gòu)師、DevOps、信息安全專家等。然而，項目經(jīng)理的任務是確保您創(chuàng)建的產(chǎn)品或您交付的服務是安全的。

如何檢查安全性，以及在啟動新項目時可能面臨哪些意外的安全性問題?以下是確保開發(fā)安全產(chǎn)品并使項目更安全的五種方法。Sigma Software公司團隊有一些關于在SDLC中實現(xiàn)安全實踐的有價值的技巧。

安全不再是一個“擁有就好”的選擇。每一家與第三方咨詢公司合作啟動新項目的企業(yè)都希望確保供應商遵守安全實踐。最簡單的方法是讓供應商完成一份評估清單，其中有一部分專門用于提供項目安全性。這樣的清單只不過是一個公司對其安全程序有多好的想法。情況可能大不相同。

有時，公司對這些清單中提供的信息感到滿意。現(xiàn)在，企業(yè)正在尋找的不僅僅是文字——證明已經(jīng)實施了安全措施，并在日常工作中遵循了這些措施。如何才能確切地證明這一點?以下是五種最常見的方法。

1.在互聯(lián)網(wǎng)上追蹤公司

收集公司信息主要有兩種途徑。第一個是OSINT(開源情報)，建議從公開可用的來源收集數(shù)據(jù)，包括媒體(報紙、廣播和電視等)、在線出版物、博客、討論組、YouTube和其他社交媒體網(wǎng)站、公共政府數(shù)據(jù)(報告、預算、聽證會、電話簿、新聞發(fā)布會、網(wǎng)站和演講)、技術報告、專利、工作文件、商業(yè)文件、通訊等。

這是很多的信息，分析需要大量時間，但是，這是一種有效的方法，可以找出公司過去或現(xiàn)在在數(shù)據(jù)安全方面存在的任何弱點。

企業(yè)還可以借助專門的平臺和工具進行第三方風險評估。這些解決方案(例如Risk Recon、BitSight等)提供了現(xiàn)成的評估程序，幫助評估供應商，并決定是否與他們合作。

所以，看到公開的每件事都會影響整個畫面。一個包含漏洞的應用程序會影響企業(yè)的聲譽，即使它是內(nèi)部使用的，即使它發(fā)生在幾年前，即使它只發(fā)布了一個小時?？赡軙浬蟼鞯骄W(wǎng)絡上的內(nèi)容?；ヂ?lián)網(wǎng)不會忘記。你有能力減少受攻擊的區(qū)域，并盡量減少可以用來對付你的信息。仔細看看你公開的東西。

2.進行獨立評估

外部評估是確認供應商遵循所有安全實踐的最常用方法之一。企業(yè)必須確保這樣的評估結(jié)果與清單中指定的結(jié)果相匹配。否則，你會發(fā)現(xiàn)自己處于一個脆弱的位置。因此，在填寫清單時，可以省略虛假信息，避免美化事實。如果意識到自己不夠好，無法與現(xiàn)有的競爭對手成功競爭，這是一個行動呼吁——提高企業(yè)的安全性，因為無論如何你都必須這樣做。這是不斷變化的現(xiàn)實的要求。

3.審核內(nèi)部測試報告

為了檢查項目是否安全，企業(yè)的潛在客戶可能會要求提供有關滲透測試的內(nèi)部報告。這樣的測試應該至少每年進行一次，或者在任何重要的發(fā)布之前進行。因此，如果企業(yè)的項目運行了三年，應該向客戶提供三份報告，并且最好都有。

讓它成為每次進行滲透測試的規(guī)則。定期控制這個問題，這樣你就不必在時間到來的時候急于找到擺脫困境的方法。

4.檢查網(wǎng)絡釣魚意識

當宣稱企業(yè)實施了安全實踐，并教導員工如何開發(fā)安全軟件和防御現(xiàn)代威脅時，需要記住，你的客戶可能想要檢查這是否屬實。一種方法是發(fā)送網(wǎng)絡釣魚郵件。如果企業(yè)收到一封網(wǎng)絡釣魚郵件，而員工回應了，這意味著安全措施并不像你想象的那么好。

對于企業(yè)的團隊不了解或不遵守基本安全規(guī)則的客戶來說，這是一個危險信號，這會使您當前的客戶處于危險之中。確保企業(yè)培訓團隊識別網(wǎng)絡釣魚電子郵件以及如何在收到它們時采取行動。

5.直接溝通

直接溝通在任何情況下都是非常重要的。

關于安全的交流也不例外。無論是對企業(yè)的安全措施說了什么，怎么說，是檢驗是否了解這個主題的試金石。爭取該領域?qū)＜彝碌闹С帧?/p>

不要冒險讓你的客戶知道的和你一樣多。這很有趣，但這是雙向的;如果是一個安全專家，這并不重要。即使在這個領域很明智，其任務是確保能開發(fā)出一種安全的產(chǎn)品，而不是讓客戶對他們在這個領域的知識水平感到不安。