Nieuws
image

Helft bedrijven test applicaties met echte klantgegevens

vrijdag 11 januari 2008, 13:13 door Redactie, 11 reacties

Meer dan de helft van de bedrijven test applicaties die nog in ontwikkeling zijn met echte klantgegevens, zo blijkt uit een onderzoek onder Franse, Duitse, Engelse en Amerikaanse ondernemingen. Hierdoor komt volgens de onderzoekers vertrouwelijke informatie in gevaar, omdat de ontwikkelomgevingen vaak minder veilig zijn dat de productieomgevingen. Een bijkomend probleem is dat de testgegevens worden blootgesteld aan personeel, partners en leveranciers die hier eigenlijk helemaal geen toegang toe zouden moeten hebben.

Zo'n 52% van de ondervraagde bedrijven zegt het testen van applicaties uit te besteden, en 49% deelt live gegevens met deze partijen. In totaal test 62% met echte klantgegevens, 89% gebruikt klantbestanden en 74% gebruikt klantenlijsten. Het gaat dan om informatie als creditcardgegevens, sofi-nummers, rekeningnummers en andere financiële gegevens. De helft van de bedrijven zegt niet te kunnen achterhalen of de gegevens waarmee getest is, ooit gecompromitteerd zijn.

Reacties (11)
11-01-2008, 13:17 door Anoniem
Als 62% van de bedrijven zegt met klantgegevens te testen, dan liegt 38%
van de onderzochte bedrijven...
11-01-2008, 13:37 door SirDice
Hoe kun je een acceptatie test doen zonder real-world data?
11-01-2008, 13:41 door Anoniem
Door Anoniem
Als 62% van de bedrijven zegt met klantgegevens te testen, dan liegt
38%
van de onderzochte bedrijven...


verlicht mij, hoe kom je tot het mooie percentage van 38% dat liegt ?
11-01-2008, 14:02 door Anoniem
je kunt prima met echte (ge-anonimiseerde) klantgegevens testen
11-01-2008, 14:21 door SirDice
Door Anoniem
je kunt prima met echte (ge-anonimiseerde) klantgegevens testen
Alleen ga je niet "eventjes" een database van een paar gigabyte anonimiseren(?).. Een dump en restore duurt al lang genoeg. Ik ben allang blij als er uberhaubt iets getest wordt voordat het in productie genomen wordt.
11-01-2008, 15:40 door Anoniem
Door Anoniem
Door Anoniem
Als 62% van de bedrijven zegt met klantgegevens te testen, dan liegt
38%
van de onderzochte bedrijven...


verlicht mij, hoe kom je tot het mooie percentage van 38% dat liegt ?
100-62=38
11-01-2008, 15:51 door Anoniem
SirDice,

Met alle respect en positief bedoeld:

In mijn optiek kun je makkelijk een diversiteit aan fictieve klantgegevens
automatisch genereren (door van te voren de opbouw van de life data te
analyseren) en deze fictieve data als dit van toepassing en nodig is in een
database van een paar gb pompen voor testdoeleinden.

Met de huidige hardware creeer je dit makkelijk in een dag.

Zo moeilijk is dat toch niet?

Maar als je veilig testen niet als voorwaarde stelt in je project activiteiten
dan gaat dit natuurlijk nooit plaats vinden.

M.a.w. je moet het als serieus aandachtspunt positioneren, doe je het niet
dan zul je al dan niet ook de gevolgen ervaren. (Lees risico wat niet
benoemd is)

Ontwikkelaars zullen dit een serieuze plaats moeten geven. En zeker daar
waar sprake is van enorme hoeveelheden data sprake is, hier
oplossingen voor moeten creeeren om uiteindelijk verantwoordelijk te
testen.

Niettemin is testen een vak apart. En moet binnen een project niet worden
afgedaan met een kopje testen.

M.v.g.
11-01-2008, 15:54 door Anoniem
nee, die 38% liegt niet, die test gewoon niet ;)
11-01-2008, 16:34 door SirDice
Met alle respect en positief bedoeld:

In mijn optiek kun je makkelijk een diversiteit aan fictieve klantgegevens automatisch genereren (door van te voren de opbouw van de life data te analyseren) en deze fictieve data als dit van toepassing en nodig is in een database van een paar gb pompen voor testdoeleinden.

Met de huidige hardware creeer je dit makkelijk in een dag.

Zo moeilijk is dat toch niet?
Helemaal mee eens echter ben ik al diverse managers tegengekomen die er op stonden dat de acceptatie omgeving exact hetzelfde was als de productie.. Data, hostnamen, ip adressen, hardware, the whole nine yards..

Leuk ook als je een acceptatie omgeving moet inrichten waar hostnamen en ip adressen hetzelfde zijn als in productie.. Nog leuker wordt het als men er op staat dat ze data van de ene omgeving naar de andere willen kunnen overhevelen...

Probleem is namelijk dat acceptatie tests door de business wordt gedaan en niet door IT'ers. En zie zo'n digibeet maar eens uit te leggen dat het niets uitmaakt.

Maar als je veilig testen niet als voorwaarde stelt in je project activiteiten dan gaat dit natuurlijk nooit plaats vinden.
Ik ben een aanhanger van het OTAP model.. Ontwikkel, Test, Acceptatie, Productie. En het liefst dan dus 4 omgevingen...
11-01-2008, 19:42 door Anoniem
k ben een aanhanger van het OTAP model.. Ontwikkel, Test, Acceptatie,
Productie. En het liefst dan dus 4 omgevingen...

en dan nog met een current en een stable ontwikkelpad
14-01-2008, 16:10 door SirDice
Door Anoniem
k ben een aanhanger van het OTAP model.. Ontwikkel,
Test, Acceptatie,
Productie. En het liefst dan dus 4 omgevingen...

en dan nog met een current en een stable ontwikkelpad
Ik neem aan dat dit is vanwege mijn voorliefde voor freebsd? ;)

Maar goed, in de acceptatie en productie omgeving gebruik je
natuurlijk een release (wel security patches, geen
nieuwe/veranderde functionaliteit). Voor ontwikkel en test
zou ik dan wel een stable gebruiken. Current is niet aan de
orde, als je daarmee wil spelen richt je maar een lokale VM
in ;) Dit omdat current regelmatig niet eens compileert of
heel instabiel is..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure