2008年9月初,Google在全球范围内发布了Chrome浏览器,意欲籍此和微软、Firefox、Opera等竞争对手抗衡,谋求互联网时代的霸主地位。然而,就在Chrome浏览器发布数小时之后,知名互联网安全研究员Aviv·Raff就发现该浏览器存在安全漏洞。
业内专家指出:“按照Google的习惯,测试版总会有这样那样的缺陷,只有一路修补下去,才会越来越臻于完美。”对用户而言,则可能要在Chrome的完美征途中付出昂贵的安全代价。随着北京奥运会结束,木马将再度呈泛滥之势,它们利用流行软件的漏洞进行传播,可轻易使数百万用户受病毒感染。中国IT史上的三大流行木马至今令人闻之色变,而它们均是利用软件漏洞入侵用户电脑,篡改系统、窃取隐私、导致局域网瘫痪,甚至进行网络犯罪。
IBM发布的《X-Force 2008年中IT安全趋势统计报告》显示,60%的新安全缺陷都发生在网络应用中,94%针对浏览器的攻击发生在漏洞公布的24小时内——人们意识到系统存在需要打补丁的漏洞之前。网络安全专家表示,一旦软件被破坏,用户的电脑将处于完全被病毒控制的情况下,“用户提高安全防范意识只是一方面,更重要的是公司发布新软件前应进行充分的测试。”
“在发布新产品之前做好测试,提高软件产品质量,减少漏洞,是预防遭受木马攻击的根本途径。” 北京康赛普特信息技术有限公司高级测试总监王亚智指出,零缺陷的软件是不存在的。但通过必要的测试,软件缺陷可减少75%,降低软件使用风险。
有关机构研究表明,国外软件开发厂商约40%的工作量要花在测试上,对一些可靠性、安全性要求较高的软件更是不惜人力物力。以微软为例,早在1999年发布Windows 2000操作系统时,微软就投入了250多个项目经理、1700多个开发人员,内部测试人员则达到3200人,比前两者的之和还要多。而这对非科班出身的Google来说,远不能及。
相比之下,国内IT产业还在软件测试人才稀缺这一基础难题上挣扎。由于人才供需失衡,国内120万软件从业人员中,真正能担当软件测试职位的不超过5万人,3年以上资深的软件测试工程师不足1万人,大多数软件厂商测试人员的数量不足开发人员数量的五分之一,远落后于国外先进水平。人才短缺使企业测试能力不足,限制了产品开发和行业发展。专家分析指出,导致我国测试人才稀缺的主要原因是人才培养途径不健全。目前,高等教育体系还没有开设软件测试的相关专业,仅有几家知名职业培训机构开设了相关课程,但每年培养的人才相对市场的巨大缺口无异于杯水车薪,造成现阶段我国软件测试人才供需严重不平衡,人才培养迫在眉睫。
从消费者追求安全可靠的心态作为衡量软件产品是否合格的标准来看,软件测试就不仅仅应是检验质量的工具,更应成为验证软件产品是否符合用户需求的保障。对软件厂商来说,只有拥有足够的软件测试人才才能对产品进行全面的安全测试,业务才有可能进一步扩展。否则,软件产品的安全问题终将成为高悬在企业头上的达摩克利斯之剑。
