在過去十年中，網(wǎng)絡(luò)安全一直是最重要的趨勢之一，現(xiàn)在變得更加重要，這主要是因為正在進(jìn)行更多的遠(yuǎn)程工作。從勒索軟件到網(wǎng)絡(luò)間諜，黑客已經(jīng)開發(fā)出復(fù)雜的技術(shù)來侵入企業(yè)的項目/數(shù)據(jù)，獲取關(guān)鍵信息或索要贖金。

　　就連佳能、Garmin、Twitter、本田和Travelex等知名企業(yè)也曾成為惡意攻擊者的受害者。數(shù)據(jù)泄露對企業(yè)或項目來說可能是一場災(zāi)難，破壞客戶的信任，破壞公司的聲譽。

　　許多項目經(jīng)理仍然認(rèn)為項目安全是其他人的責(zé)任——軟件架構(gòu)師、DevOps、信息安全專家等。然而，項目經(jīng)理的任務(wù)是確保您創(chuàng)建的產(chǎn)品或您交付的服務(wù)是安全的。

　　如何檢查安全性，以及在啟動新項目時可能面臨哪些意外的安全性問題?以下是確保開發(fā)安全產(chǎn)品并使項目更安全的五種方法。Sigma Software公司團(tuán)隊有一些關(guān)于在SDLC中實現(xiàn)安全實踐的有價值的技巧。

　　安全不再是一個“擁有就好”的選擇。每一家與第三方咨詢公司合作啟動新項目的企業(yè)都希望確保供應(yīng)商遵守安全實踐。最簡單的方法是讓供應(yīng)商完成一份評估清單，其中有一部分專門用于提供項目安全性。這樣的清單只不過是一個公司對其安全程序有多好的想法。情況可能大不相同。

　　有時，公司對這些清單中提供的信息感到滿意。現(xiàn)在，企業(yè)正在尋找的不僅僅是文字——證明已經(jīng)實施了安全措施，并在日常工作中遵循了這些措施。如何才能確切地證明這一點?以下是五種最常見的方法。

　　1.在互聯(lián)網(wǎng)上追蹤公司

　　收集公司信息主要有兩種途徑。第一個是OSINT(開源情報)，建議從公開可用的來源收集數(shù)據(jù)，包括媒體(報紙、廣播和電視等)、在線出版物、博客、討論組、YouTube和其他社交媒體網(wǎng)站、公共政府?dāng)?shù)據(jù)(報告、預(yù)算、聽證會、電話簿、新聞發(fā)布會、網(wǎng)站和演講)、技術(shù)報告、專利、工作文件、商業(yè)文件、通訊等。

　　這是很多的信息，分析需要大量時間，但是，這是一種有效的方法，可以找出公司過去或現(xiàn)在在數(shù)據(jù)安全方面存在的任何弱點。

　　企業(yè)還可以借助專門的平臺和工具進(jìn)行第三方風(fēng)險評估。這些解決方案(例如Risk Recon、BitSight等)提供了現(xiàn)成的評估程序，幫助評估供應(yīng)商，并決定是否與他們合作。

　　所以，看到公開的每件事都會影響整個畫面。一個包含漏洞的應(yīng)用程序會影響企業(yè)的聲譽，即使它是內(nèi)部使用的，即使它發(fā)生在幾年前，即使它只發(fā)布了一個小時?？赡軙浬蟼鞯骄W(wǎng)絡(luò)上的內(nèi)容?；ヂ?lián)網(wǎng)不會忘記。你有能力減少受攻擊的區(qū)域，并盡量減少可以用來對付你的信息。仔細(xì)看看你公開的東西。

　　2.進(jìn)行獨立評估

　　外部評估是確認(rèn)供應(yīng)商遵循所有安全實踐的最常用方法之一。企業(yè)必須確保這樣的評估結(jié)果與清單中指定的結(jié)果相匹配。否則，你會發(fā)現(xiàn)自己處于一個脆弱的位置。因此，在填寫清單時，可以省略虛假信息，避免美化事實。如果意識到自己不夠好，無法與現(xiàn)有的競爭對手成功競爭，這是一個行動呼吁——提高企業(yè)的安全性，因為無論如何你都必須這樣做。這是不斷變化的現(xiàn)實的要求。

　　3.審核內(nèi)部測試報告

　　為了檢查項目是否安全，企業(yè)的潛在客戶可能會要求提供有關(guān)滲透測試的內(nèi)部報告。這樣的測試應(yīng)該至少每年進(jìn)行一次，或者在任何重要的發(fā)布之前進(jìn)行。因此，如果企業(yè)的項目運行了三年，應(yīng)該向客戶提供三份報告，并且最好都有。

　　讓它成為每次進(jìn)行滲透測試的規(guī)則。定期控制這個問題，這樣你就不必在時間到來的時候急于找到擺脫困境的方法。

　　4.檢查網(wǎng)絡(luò)釣魚意識

　　當(dāng)宣稱企業(yè)實施了安全實踐，并教導(dǎo)員工如何開發(fā)安全軟件和防御現(xiàn)代威脅時，需要記住，你的客戶可能想要檢查這是否屬實。一種方法是發(fā)送網(wǎng)絡(luò)釣魚郵件。如果企業(yè)收到一封網(wǎng)絡(luò)釣魚郵件，而員工回應(yīng)了，這意味著安全措施并不像你想象的那么好。

　　對于企業(yè)的團(tuán)隊不了解或不遵守基本安全規(guī)則的客戶來說，這是一個危險信號，這會使您當(dāng)前的客戶處于危險之中。確保企業(yè)培訓(xùn)團(tuán)隊識別網(wǎng)絡(luò)釣魚電子郵件以及如何在收到它們時采取行動。

　　5.直接溝通

　　直接溝通在任何情況下都是非常重要的。

　　關(guān)于安全的交流也不例外。無論是對企業(yè)的安全措施說了什么，怎么說，是檢驗是否了解這個主題的試金石。爭取該領(lǐng)域?qū)＜彝碌闹С帧?/p>

　　不要冒險讓你的客戶知道的和你一樣多。這很有趣，但這是雙向的;如果是一個安全專家，這并不重要。即使在這個領(lǐng)域很明智，其任務(wù)是確保能開發(fā)出一種安全的產(chǎn)品，而不是讓客戶對他們在這個領(lǐng)域的知識水平感到不安。