在過去十年中，網絡安全一直是最重要的趨勢之一，現在變得更加重要，這主要是因為正在進行更多的遠程工作。從勒索軟件到網絡間諜，黑客已經開發出復雜的技術來侵入企業的項目/數據，獲取關鍵信息或索要贖金。

　　就連佳能、Garmin、Twitter、本田和Travelex等知名企業也曾成為惡意攻擊者的受害者。數據泄露對企業或項目來說可能是一場災難，破壞客戶的信任，破壞公司的聲譽。

　　許多項目經理仍然認為項目安全是其他人的責任——軟件架構師、DevOps、信息安全專家等。然而，項目經理的任務是確保您創建的產品或您交付的服務是安全的。

　　如何檢查安全性，以及在啟動新項目時可能面臨哪些意外的安全性問題?以下是確保開發安全產品并使項目更安全的五種方法。Sigma Software公司團隊有一些關于在SDLC中實現安全實踐的有價值的技巧。

　　安全不再是一個“擁有就好”的選擇。每一家與第三方咨詢公司合作啟動新項目的企業都希望確保供應商遵守安全實踐。最簡單的方法是讓供應商完成一份評估清單，其中有一部分專門用于提供項目安全性。這樣的清單只不過是一個公司對其安全程序有多好的想法。情況可能大不相同。

　　有時，公司對這些清單中提供的信息感到滿意。現在，企業正在尋找的不僅僅是文字——證明已經實施了安全措施，并在日常工作中遵循了這些措施。如何才能確切地證明這一點?以下是五種最常見的方法。

　　1.在互聯網上追蹤公司

　　收集公司信息主要有兩種途徑。第一個是OSINT(開源情報)，建議從公開可用的來源收集數據，包括媒體(報紙、廣播和電視等)、在線出版物、博客、討論組、YouTube和其他社交媒體網站、公共政府數據(報告、預算、聽證會、電話簿、新聞發布會、網站和演講)、技術報告、專利、工作文件、商業文件、通訊等。

　　這是很多的信息，分析需要大量時間，但是，這是一種有效的方法，可以找出公司過去或現在在數據安全方面存在的任何弱點。

　　企業還可以借助專門的平臺和工具進行第三方風險評估。這些解決方案(例如Risk Recon、BitSight等)提供了現成的評估程序，幫助評估供應商，并決定是否與他們合作。

　　所以，看到公開的每件事都會影響整個畫面。一個包含漏洞的應用程序會影響企業的聲譽，即使它是內部使用的，即使它發生在幾年前，即使它只發布了一個小時。可能會忘記上傳到網絡上的內容?；ヂ摼W不會忘記。你有能力減少受攻擊的區域，并盡量減少可以用來對付你的信息。仔細看看你公開的東西。

　　2.進行獨立評估

　　外部評估是確認供應商遵循所有安全實踐的最常用方法之一。企業必須確保這樣的評估結果與清單中指定的結果相匹配。否則，你會發現自己處于一個脆弱的位置。因此，在填寫清單時，可以省略虛假信息，避免美化事實。如果意識到自己不夠好，無法與現有的競爭對手成功競爭，這是一個行動呼吁——提高企業的安全性，因為無論如何你都必須這樣做。這是不斷變化的現實的要求。

　　3.審核內部測試報告

　　為了檢查項目是否安全，企業的潛在客戶可能會要求提供有關滲透測試的內部報告。這樣的測試應該至少每年進行一次，或者在任何重要的發布之前進行。因此，如果企業的項目運行了三年，應該向客戶提供三份報告，并且最好都有。

　　讓它成為每次進行滲透測試的規則。定期控制這個問題，這樣你就不必在時間到來的時候急于找到擺脫困境的方法。

　　4.檢查網絡釣魚意識

　　當宣稱企業實施了安全實踐，并教導員工如何開發安全軟件和防御現代威脅時，需要記住，你的客戶可能想要檢查這是否屬實。一種方法是發送網絡釣魚郵件。如果企業收到一封網絡釣魚郵件，而員工回應了，這意味著安全措施并不像你想象的那么好。

　　對于企業的團隊不了解或不遵守基本安全規則的客戶來說，這是一個危險信號，這會使您當前的客戶處于危險之中。確保企業培訓團隊識別網絡釣魚電子郵件以及如何在收到它們時采取行動。

　　5.直接溝通

　　直接溝通在任何情況下都是非常重要的。

　　關于安全的交流也不例外。無論是對企業的安全措施說了什么，怎么說，是檢驗是否了解這個主題的試金石。爭取該領域專家同事的支持。

　　不要冒險讓你的客戶知道的和你一樣多。這很有趣，但這是雙向的;如果是一個安全專家，這并不重要。即使在這個領域很明智，其任務是確保能開發出一種安全的產品，而不是讓客戶對他們在這個領域的知識水平感到不安。