End2End内容服务更添灵活的代码开发功能

End2End内容服务更添灵活的代码开发功能自动化安全检查，极大缩短应用开发周期“借助WebInspect，我们能够避免潜在的安全问题，为我们的客户提供最全面的测试服务与应用。”—End2EndVASApS信息安全总监JesBeirholm惠普客户案例研究：End2EndVASApS利用测试自动化来加速应用开发，应用与服务安全不会受到丝毫影响。行业：移动通信目标：为了与快速发展的移动通信市场保持同步，End2End快速提供确保质量与安全性的应用与服务。方案：利用面向安全测试的自动化工具以缩短开发周期，支持工程师更加高效地应用资源。IT改进：•安全测试时间从一周缩短为一小时。•在安全检查过程中减少“主动错误”信息•对确认的安全问题予以快速解决•开发商与测试人员能够重新分配用于主动安全工作的时间。业务惠益：•以更强大的能力为客户提供更好的价值定位•开发员工获得更高生产力•在向客户做简要介绍时更好地展示安全优势End2EndVASApS是一家立足欧洲的移动内容与信息管理服务提供商，需要紧随当今快速发展的电信市场的脚步。公司为全球超过50个国家和地区的B2B客户提供服务，主要包括移动运营商、门户网站与其它内容提供商。End2End的服务交付基础设施帮助客户减少开发费用，快速获得移动数据计划投资回报。除了良好的价值定位，End2End创建的交付应用必须满足严苛的标准：可以随时使用、高度可用、安全。2WebInspect让我们有能力将安全保护工作做得更好。过去，我们也许可以发现潜在的安全问题，但是如果没有WebInspect的帮助，我们不可能有效地解决这些问题。”—End2EndVASApS信息安全总监JesBeirholm巨大时间浪费End2End产品组合的基础是其应用与服务平台—内容零售解决方案(CRS)。运行在BEAWebLogic之上的此平台包括一个下载引擎、一个独有的内容管理系统及一个服务支持与管理模块。为了维护其CRS平台，End2End正在越来越多地采用灵活的代码开发原则。公司越来越多地采用灵活的编码开发原则，以降低在短期（称为“反复”）内开发软件的风险，对大型应用的微小增补都可以在数天或数周的时间内完成并测试完毕。根据End2End的信息安全经理JesBeirholm所言，每个“反复”本身都可以被当作一个微型软件项目，并且都经过严格的质量保证与安全测试。直至去年，公司的开发团队还大部分依靠手动方式来测试“反复”，使用众多商业与开源安全及质量保证测试工具。但是这一流程并不高效，不能满足Beirholm的需求。例如，工具的报告能力有很大差异，而且在描述同一缺陷及未涉及的潜在开发问题时，提供不一致的结果。Beirholm认为这迫使团队成员不得不浪费大量时间整理“这些工具都只能收集标题信息并“告诉”我们存在漏洞。在很多情况中，这些工具“发现”的漏洞并不存在。”—信息安全总监JesBeirholm不同的报告，以得出合理的测试结果。此外，这些工具报告的主动错误信息“带来了更多工作”，因为团队成员需要确认，是否只在处理结果中找到“ghost”，或者他们的工具是否发现需要进行修补的真正软件问题。“无论是因为我们运行Apache系统，或者在项目中使用任何应用，这些工具都只能收集标题信息并“告诉”我们存在漏洞。在很多情况中，这些工具“发现”的漏洞并不存在。”Beirholm这样说到。以智能的方式检证漏洞这对于一个不断发展壮大的企业来说造成了诸多浪费。此外，公司的开发团队经常同时进行50个或更多的软件“反复”。因此决不容许开发周期内出现纰漏。Beirholm谈到：“我们的团队必须动作迅速、灵活机动，跟上不间断应用开发生命周期的步伐。”因此公司需要一个更加高效的方法在应用开发以中找到和修补安全漏洞也就不足为奇了。Beirholm及公司开发团队需要开发安全、可用的应用与服务，他谈到：“我们不能提供有效的安全控制并实施监控。我们希望拥有一款工具，其能以智能的方式正确检测到问题，检证实际的漏洞。”“我们希望拥有一款工具，其能以智能的方式正确检测到问题，检证实际的漏洞。”—信息安全总监JesBeirholm23Beirholm向HPWebInspect软件寻找帮助。他谈到：“WebInspect包括了我们进行基于风险的测试所需的功能，这些功能之一就是惠普的SecureBase：一个应用层漏洞数据库，包括约4400个独特的Web应用漏洞、危胁与安全检查，是全球最大、最全面的此类数据库。Beirholm指出WebInspect软件还提供了丰富的测试功能，确保End2End提供最安全的应用与服务。Beirholm表示：“这是我们的目标之一，我们知道WebInspect可以帮助我们实现高质量。”Beirholm对于WebInspect支持众多测试，并且能够持续更新并不断发现Web应用层中的已知与未知漏洞感到十分满意。他谈到：“这对于我们至关重要，WebInspect让我们有能力将安全保护工作做得更好。过去，我们也许可以发现潜在的安全问题，但是如果没有WebInspect的帮助，我们不可能有效地解决这些问题。”将测试时间从一周缩短至二十分钟WebInspect的自动、精确及具有深度的测试，极大地缩短了公司找到及验证安全漏洞所需的时间。在部署WebInspect之前，为期一周的一系列测试将用于彻查潜在的漏洞，根据严重性分类，确定这些漏洞到底是“ghost”，还是需要修补的真正缺陷。Beirholm谈到：“现在，WebInspect只需1个小时就可完成扫描和应用侦测。投资回报非常可观。”他随后补充到：“谈到安全与自动安全工具，其最大的敌人就是主动错误信息。要想深入分析主动错误信息，您需要具备很高的专业知识水平，而且操作起来十分耗时。主动错误信息的减少对我们来说是个好消息。”主动避免潜在安全问题End2End一个月进行两次应用测试，部署WebInspect并投产后，公司能够在开发Web应用时保持高效和主动发现问题。“高效就是游戏之名。我们没有WebInspect这样的自动测试工具，无法成为市场领袖。”—信息安全总监JesBeirholm软件可以帮助End2End践行其对于客户的安全承诺。这十分重要，因为每年End2End的客户都会进行审计，详细涉及End2End的开发与安全流程及程序。Beirholm解释到：“当我们与客户讨论应用开发时，安全问题总被提及。我们的团队将WebInspect作为其风险管理流程的一个关键组成来应对客户的问题。客户希望在进行审计时发现质量获得极大保证。”WebInspect并不是支持End2End开发周期的唯一惠普软件，其还依赖HPTestDirectorforQualityCenter软件及HPQuickTestProfessional软件进行应用开发管理与测试。Beirholm谈到他们将很快将其它惠普应用与WebInspect集成。这将使End2End拥有一个通用平台进行其安全与应用质量测试，通过集中化公司的Web应用与安全测试，获得更高的生产力。每家公司都需要高速、精确、高效与安全的开发流程，这对于像End2End这样灵活、快速发展的公司而言特别重要。Beirholm表示：“高效就是游戏之名。我们没有WebInspect这样的自动测试工具，无法成为市场领袖。”客户End2End是移动数据专家，拥有精深的专业知识，在提供结合技术与业务流程的部分与全面外包解决方案方面硕果累累。公司目前为五大洲的20个国家和地区的超过50个移动运营商提供移动数据服务与内容交付解决方案。客户中包括众多市场领袖，如微软、摩托罗拉、Orange、O2与沃达丰。End2End是一家MACH集团内独立运营的公司。MACH是全球领先的移动交易结算合作伙伴。客户解决方案一览主要应用应用开发中的安全测试惠普服务•HPWebInspect软件•HPTestDirectorforQualityCenter软件•HPQuickTestProfessional软件详情请访问或拨打支持热线：800-820-2255转126©2008Hewlett-PackardDevelopmentCompany,L.P.。本文所含信息如有更改，恕不另行通知。惠普产品与服务的全部保修条款在此类产品及服务附带的保修声明中均已列明。此处任何信息均不构成额外的保修条款。惠普对文中包含的技术或编辑上的错误或遗漏概不负责。4AA1-8946ENW，2008年4月