軟件開發(fā)公司通常使用的DevOps是一種需要軟件開發(fā)人員和IT運(yùn)營團(tuán)隊(duì)密切協(xié)作的文化，目標(biāo)是更快地推出更高質(zhì)量的軟件和頻繁修改該軟件。DevOps幫助許多北京軟件開發(fā)公司徹底改變了他們的開發(fā)操作。

在軟件開發(fā)行業(yè)也開始理解作為DevOps過程一部分，解決安全需求的重要性。DevOps體系下必須平衡速度和靈活性在應(yīng)用程序和服務(wù)的需求中保護(hù)企業(yè)關(guān)鍵資產(chǎn)。

自帶測(cè)試下的安全性顯微鏡
在軟件開發(fā)過程中特別需要更加重視的一個(gè)領(lǐng)域是安全測(cè)試。根據(jù)較近的一項(xiàng)調(diào)查，北京軟件公司報(bào)告在測(cè)試過程中使用實(shí)時(shí)客戶數(shù)據(jù)，因?yàn)樗麄冋J(rèn)為這可以在“實(shí)際”中提供應(yīng)用程序性能和行為的較準(zhǔn)確表示。任何時(shí)候，實(shí)時(shí)客戶數(shù)據(jù)都是從生產(chǎn)中提取的環(huán)境，他們向軟件外包商提供真實(shí)的客戶數(shù)據(jù)用于測(cè)試流程，這增加了損失或誤操作的風(fēng)險(xiǎn)。這些根深蒂固的習(xí)慣，可以使測(cè)試人員面臨重大風(fēng)險(xiǎn)。

未能保護(hù)個(gè)人數(shù)據(jù)的公司所遭受的聲譽(yù)損失可直接轉(zhuǎn)化為收入損失。新的隱私規(guī)定現(xiàn)在提高了這個(gè)前景。歐盟（EU）較近通過的一般數(shù)據(jù)保護(hù)法規(guī)（GDPR）通常被認(rèn)為主要影響歐盟公司，但這些新法律實(shí)際上適用于擁有歐盟客戶數(shù)據(jù)的任何組織。這包括一半以上的大型企業(yè) - 根據(jù)上述相同的調(diào)查。2018年5月，未能在測(cè)試過程中掩蓋其客戶數(shù)據(jù)的企業(yè)將發(fā)現(xiàn)自己直接違反GDPR。

滿足測(cè)試數(shù)據(jù)保密任務(wù)
如同許多其他的信息安全計(jì)劃，測(cè)試數(shù)據(jù)隱私項(xiàng)目可能是復(fù)雜和困難，但他們可以用DevOps的舉措保持一致。入門建議包括清查敏感數(shù)據(jù)，確定理想偽裝規(guī)則和創(chuàng)建了解視圖表。

庫存敏感數(shù)據(jù)，現(xiàn)在可以保存。第一步是通過創(chuàng)建和識(shí)別需要偽裝的信息列來獲取所有敏感數(shù)據(jù)的庫存。與流行的信念相反，這不包括名稱，事實(shí)上，消除名稱可能會(huì)使得在測(cè)試過程中數(shù)據(jù)在事務(wù)路徑和平臺(tái)上移動(dòng)時(shí)不必要地識(shí)別客戶記錄。例如，在基本加密模型中，“Marcin Grabinski”的輸入可以傳遞“KL / BCrWkXniHAdoN0zhLEw”的輸出。簡(jiǎn)而言之，這對(duì)于測(cè)試者是不可區(qū)分的，因此是不可接受的，除非過程是自動(dòng)的，手動(dòng)。

測(cè)試數(shù)據(jù)隱私的目標(biāo)不是偽裝數(shù)據(jù)本身，而是使得相當(dāng)難以識(shí)別個(gè)人 - 一種被稱為“假名化”的概念。只要這些名稱沒有鏈接，就可以使用生產(chǎn)數(shù)據(jù)庫中的真實(shí)客戶名稱到家庭住址，出生日期，護(hù)照，許可證號(hào)碼或任何其他識(shí)別信息。保持真實(shí)，易于識(shí)別的名稱（例如，Jane Doe）使得測(cè)試過程對(duì)于手動(dòng)測(cè)試人員更快速，高效和準(zhǔn)確，因?yàn)樗鼈冊(cè)跍y(cè)試環(huán)境中跟蹤應(yīng)用程序執(zhí)行。

確定理想的偽裝規(guī)則。一旦公司確定需要屏蔽哪些信息，下一步是為每種類型的敏感數(shù)據(jù)創(chuàng)建偽裝規(guī)則。有各種技術(shù)，較著名的是加密，或者對(duì)消息或信息進(jìn)行編碼的過程，因此只有授權(quán)方才能讀取它們。

如上所述，使用標(biāo)準(zhǔn)加密的挑戰(zhàn)在于，它可能使得軟件開發(fā)公司測(cè)試者非常難以識(shí)別他或她正在觀看什么類型的信息。以上面提到的例子，“KL / BCrWkXniHAdoN0zhLEw” - 不只是這不容易簡(jiǎn)單地查看和召回作為名稱，但人們甚至不能告訴它是一個(gè)名稱或地址，或電話號(hào)碼物。在測(cè)試數(shù)據(jù)隱私的上下文中，格式保留加密趨向于更好地工作。這種加密風(fēng)格保留了輸入數(shù)據(jù)的原始格式，同時(shí)屏蔽了輸入數(shù)據(jù)，從而使其對(duì)于數(shù)據(jù)測(cè)試目的更有用。例如美國的電話號(hào)碼 - 這些可以反映為三位數(shù)字 - 三位數(shù)字 - 四位數(shù)字，因此測(cè)試者知道他或她正在查看電話號(hào)碼，但內(nèi)容是加密的 - 給出不同的數(shù)字集合。

雖然格式保護(hù)加密可以很好地用于像電話號(hào)碼這樣的數(shù)據(jù)，但對(duì)于不遵循標(biāo)準(zhǔn)格式的數(shù)據(jù)（例如地址）并不總是很好。對(duì)于處理GDPR的組織尤其如此，因?yàn)榈刂吩诓煌瑖业母袷讲煌?/font>數(shù)據(jù)轉(zhuǎn)換，它采用存儲(chǔ)在組織的文件中的現(xiàn)有數(shù)據(jù)記錄，并且加擾并分配它們以掩蓋敏感數(shù)據(jù)值 - 對(duì)于希望掩蓋遵循統(tǒng)一格式的地址信息的組織來說是好的選擇。