质量保证
回到专栏主页
深入了解QA、开发运维与渗透测试团队如何齐心协力保障游戏与应用程序安全
PTW相当重视游戏和App的安全性。为了保证我们的客户的安全,我们采用了包含质量保证、开发运维和渗透测试在内的三重安全举措。我们与客户的开发者、开发运维和QA、以及其他团队通力合作,确保安全领域最重要的方面都面面俱到。
一款App,或者一家游戏公司,是如何保证用户的安全的?用户安全涵盖三个方面:
1. 用户的个人信息得到妥善保密。
2. 用户可以确保仅有他们自己可以登录账户,黑客完全无法触及。
3. 用户可以放心App或游戏可以正常运行,并且其他用户也遵循同样的规则(杜绝作弊者)。
如果一家公司无法实现在这三个方面的平衡取舍,往往会引发屡见报端的各种安全事件。例如,Norton Healthcare近期就披露了一起黑客攻击行径,其数百万的病人数据遭到攻击,其中不乏非常敏感的医疗信息。类似的事件只会越来越密集地发生。
“信息安全不仅仅只是几个个人的责任,更是整个公司的责任。”PTW负责领导IT和网络安保部门的技术副总裁,Harlan Beverly如此说。“在PTW,我们与客户旗下的各个部门通力合作,确保其与用户安全息息相关的QA、开发运维和渗透测试各个方面都有可靠保证,对此我们非常自豪。”
谈到用户安全,渗透测试就显得非常重要。此类测试需要训练有素的专业人员,他们配有与黑客类似的工具与技术。“这些‘白客’采取黑客可能选择的手法,尝试渗透服务器和数据库,但目的在于抢先坏人一步,及早发现漏洞和缺点并进行修复。”Harlan解释说。“这对于保证用户的安全至关重要,PTW现在正提供这种服务——NinjaScan,面向当前以及未来所有正在开发或维护游戏和App的客户。”
QA在保证用户安全方面也有关键作用。可以保证一款游戏或App免于bug和致命缺陷导致信息泄露的困扰。“用户的个人信息泄露的结果可能是灾难性的。”Harlan强调。“QA正是确保这样的情况不会发生。QA并不总是完美的,不过,正是渗透测试,可以帮助QA团队发现最后几个可能危害到用户的漏洞。”对于游戏来说,这就包括部分玩家可以滥用的bug,他们可能会利用其进行作弊,或者欺压其他玩家。
熟悉PTW的人都知道,我们向游戏公司提供QA服务,发现致命缺陷和潜在安全问题。不过Harlan也补充,“PTW也提供一种叫做NinjaHack的全新服务,可以帮助并行发现这些漏洞,并与QA或现场制作团队合作。我们的专业团队会最大程度地贴近那些可能想要作弊,或在App中滥用缺陷的人,以找到这些漏洞,并帮助我们的客户在用户发现之前对其进行修补。”
最后,开发运维能够确保所有服务器保持最新状态,以及网络基础设施的安全性,从而帮助实现用户安全。“PTW的NinjaScan和NinjaHack服务直接与客户的开发运维团队合作,不仅帮助发现潜在漏洞,更会帮助修复漏洞。修复过后,PTW会进行一次重新扫描(免费服务),保证修复成功实施。
“如上的所有知识都是业内的常识和惯例。”Harlan继续说。“然而,这就引出了一个问题,'为什么不全是所有公司都采取这些寻常又合理的预防措施呢?'节省开销并不是合理的理由,毕竟久了之后,用户迟早会发现漏洞,并选择不再使用该App或游玩该游戏。Harlan保证,PTW时刻准备着和客户的所有部门通力合作,保证每一个用户的安全都得到妥善关护。