SOA测试足够强硬吗
2008-06-13 14:01
281 查看
IT专家网独家面向服务架构的有点似乎无穷无尽:改良的效率,新型服务,遗产应用程序的获得;但是FranHowarth指出它有一个弱点就是安全的问题。
面向服务架构(SOA)代表了我们在处理计算机方式方面一个巨大的改变。它在更大程度上来说是一个商业方法而非技术途径,它允许组织从现存的系统中获取更多的资源。
SOA更有效的原因在于它提取要执行一个服务所需的应用程序部分,而不是上载整个应用程序。它也允许不同应用程序的职能成分以创新的方式组合在一起以便开放新的服务。
但SOA有一个缺陷,就是会增加安全问题。每一个软件组成都必须经过验证才能获取。
如果不是这样的话,组织外人士就能很轻易在需求中注入流氓代码,污染整个业务流程。
另一个安全弱点就是许多组织使用SOA驱动遗产应用软件以及自己开发的新软件。这种方法通过网络暴露了组织现存的应用程序。
这些遗产应用软件并非为了这样的获取渠道而设计,因此也缺乏安全模式来处理外部威胁。
受到Fortify软件公司的委托,Quocira最近在德国、英国和美国进行了一次调查,以评估SOA的采用情况。大约五分之三的受访者表示正在实施一个大型的SOA项目,包括网络驱动现有的应用程序。
但是仅有10%采取了从其SOA部署中排除遗产应用程序的政策。
这项调查凸显了国家之间存在的一些有趣的差异。德国的组织中,76%在实施网络实现现有应用程序以及基于新服务基础上的功能的SOA项目,而仅有16%完全没有开始实施SOA。
但在英国,只有34%的组织实施了全面的SOA,包括遗产应用程序;而50%的组织仍然在实施一个SOA。
从整体的安全性来说,德国组织在受访者中采取了最积极的安全立场,在他们开放的软件应用程序中建立安全也是最先进的。
另一方面,英国的受访者是最不可能使用静态分析工具和可再利用模型测试应用程序安全性,定义特定应用程序安全水平的。
这些工具有助于传统代码自动化回顾和揭露可能的安全问题,以便能在应用程序或服务进入主要运行环境之前进行解决。
该调查显示出了一些相关问题。更深入的分析显示在三个国家之中,在实施会暴露遗产应用软件的全面SOA时不到一半的组织使用诸如静态代码分析工具的测试工具。
在分析单个国家时,只有26%的德国组织在实施全面SOA时使用这些工具。
这个数字与德国组织表现出高水平安全意识的发现是背道而驰的。在英国70%的实施SOA的组织应用了这些测试工具。
因此调查结果显示许多处在SOA应用前沿的组织似乎在采取较为冒险的策略。这对于那些在开放网络中暴露遗产程序的组织是一个清晰的醒钟。
近来出现了新型的骇客,他们攻击组织以获得经济利益并追捕那些在互联网上暴露出来的应用程序的弱点。
我们的底线是SOA必须得到有效的监察,安全问题决不应该成为事后才产生的想法。
组织需要未所有的SOA应用制定一个明确的支持,使得人们最终负责确保使用内置的安全进程彻底的测试应用程序中通过开放网络暴露出来的安全弱点。
如同调查显示的那样,SOA实施以很大的数量在出现,但是这可能发生大的安全问题,除非组织开始清楚的评估安全风险和网络实现的老旧的,潜在不安全的应用程序。
面向服务架构(SOA)代表了我们在处理计算机方式方面一个巨大的改变。它在更大程度上来说是一个商业方法而非技术途径,它允许组织从现存的系统中获取更多的资源。
SOA更有效的原因在于它提取要执行一个服务所需的应用程序部分,而不是上载整个应用程序。它也允许不同应用程序的职能成分以创新的方式组合在一起以便开放新的服务。
但SOA有一个缺陷,就是会增加安全问题。每一个软件组成都必须经过验证才能获取。
如果不是这样的话,组织外人士就能很轻易在需求中注入流氓代码,污染整个业务流程。
另一个安全弱点就是许多组织使用SOA驱动遗产应用软件以及自己开发的新软件。这种方法通过网络暴露了组织现存的应用程序。
这些遗产应用软件并非为了这样的获取渠道而设计,因此也缺乏安全模式来处理外部威胁。
受到Fortify软件公司的委托,Quocira最近在德国、英国和美国进行了一次调查,以评估SOA的采用情况。大约五分之三的受访者表示正在实施一个大型的SOA项目,包括网络驱动现有的应用程序。
但是仅有10%采取了从其SOA部署中排除遗产应用程序的政策。
这项调查凸显了国家之间存在的一些有趣的差异。德国的组织中,76%在实施网络实现现有应用程序以及基于新服务基础上的功能的SOA项目,而仅有16%完全没有开始实施SOA。
但在英国,只有34%的组织实施了全面的SOA,包括遗产应用程序;而50%的组织仍然在实施一个SOA。
从整体的安全性来说,德国组织在受访者中采取了最积极的安全立场,在他们开放的软件应用程序中建立安全也是最先进的。
另一方面,英国的受访者是最不可能使用静态分析工具和可再利用模型测试应用程序安全性,定义特定应用程序安全水平的。
这些工具有助于传统代码自动化回顾和揭露可能的安全问题,以便能在应用程序或服务进入主要运行环境之前进行解决。
该调查显示出了一些相关问题。更深入的分析显示在三个国家之中,在实施会暴露遗产应用软件的全面SOA时不到一半的组织使用诸如静态代码分析工具的测试工具。
在分析单个国家时,只有26%的德国组织在实施全面SOA时使用这些工具。
这个数字与德国组织表现出高水平安全意识的发现是背道而驰的。在英国70%的实施SOA的组织应用了这些测试工具。
因此调查结果显示许多处在SOA应用前沿的组织似乎在采取较为冒险的策略。这对于那些在开放网络中暴露遗产程序的组织是一个清晰的醒钟。
近来出现了新型的骇客,他们攻击组织以获得经济利益并追捕那些在互联网上暴露出来的应用程序的弱点。
我们的底线是SOA必须得到有效的监察,安全问题决不应该成为事后才产生的想法。
组织需要未所有的SOA应用制定一个明确的支持,使得人们最终负责确保使用内置的安全进程彻底的测试应用程序中通过开放网络暴露出来的安全弱点。
如同调查显示的那样,SOA实施以很大的数量在出现,但是这可能发生大的安全问题,除非组织开始清楚的评估安全风险和网络实现的老旧的,潜在不安全的应用程序。
相关文章推荐
- 测试了一段时间OSS2007(sharepoint),感觉有windows sharepoint V3就足够一般企业应用了
- 惠普SOA测试产品
- API测试自动化——基于CDIF的SOA基本功能(实例篇)
- MySQL查询语句练习题,测试足够用…
- 智能的API、云服务和SOA测试解决方案——Parasoft SOAtest
- 淘宝SOA框架dubbo学习(2)--本地伪集群测试Demo
- 做移动互联网App,你的测试用例足够吗?
- 使用IBM WID建立SOA 4(测试、导出和导入)
- 《LoadRunner没有告诉你的》之七——使用 LoadRunner 连续长时间执行测试,如何保证参数化的数据足够又不会重复?
- beta版本“足够好”/测试矩阵
- 做移动互联网App,你的测试用例足够吗?
- 从短信中提取短信验证码正则表达式,缺少足够测试
- 练习 3-1 在上面有关折半查找的例子中,while循环语句内共执行了两次测试,其实只要一次就足够(代价是将更多的测试在循环外执行)。重写该函数,使得在循环内部只执行一次测试。
- 《LoadRunner没有告诉你的》之七——使用 LoadRunner 连续长时间执行测试,如何保证参数化的数据足够又不会重复?
- SOA 安全性基础知识,第 3 部分:测试 SOA 安全性
- 做移动互联网App,你的测试用例足够吗?
- 传统性能测试如何有效应用于SOA解决方案
- 《LoadRunner没有告诉你的》之七——使用 LoadRunner 连续长时间执行测试,如何保证参数化的数据足够又不会重复?
- SOA组合业务服务的自动化测试:第1部分
- 创建SOA测试团队之前应考虑的六大问题