前文我们介绍了混合分析映射（HAM）项目，本文将继续为您介绍关于安全测试的研究。

关注改进

“找漏洞很容易，”Cornell说：“挑战在于修补漏洞。”虽然许多安全测试专业人士—包括道德黑客、渗透测试者以及静态或动态代码分析师等能够发现范围很广的潜在薄弱环节，但能真正修补这些漏洞的人却相对较少。理想情况下修补的部分应该从写代码的开发者开始，Cornell说。在他合作过的大多数组织里，流程往往是在安全专业人士把漏洞交给开发者的地方出现问题。

这种时候往往会发生一到两件事情。要么开发者不理解漏洞，要么他们不知道如何将这些漏洞在自己的正常工作流中摆平。安全漏洞跟其他的软件缺陷不一样，它们往往是由一个信息安全官用自己的特别工具跟踪和管理的——通常是电子表格和PDF。“漏洞必须变成软件缺陷才能受到开发者的关注，”Cornell说。

ThreadFix介绍

ThreadFix是开源软件漏洞聚合器及管理系统。它可以对若干安全测试的结果进行标准化，然后复制这些数据，创建出软件缺陷报告，再跟其他软件缺陷报告集成到一起并赋予其相应的优先级呈给开发团队。如果缺陷跟踪者与开发及QA合作得好的话，Threadfix有可能通过将其集成进已有的软件质量流程而简化安全需求管理。

执行一系列单独测试的安全测试员可以利用ThreadFix，通过若干不同的扫描上传结果，靠开源软件来把它集中到一个地方。“跨站脚本漏洞可能会被不同的工具发现两次，”Cornell说：“但实际上却是同一个漏洞。”他说ThreadFix会轻而易举地将这两个重复漏洞识别出来，呈给开发者的将只有一个。Cornell说单一漏洞的多个实例在适当的情况下也可以批处理为单个缺陷。

Threadfix是一款基于REST的API，可以通过命令行客户端访问。这使开发者可以利用持续集成或DevOps的办法来程序化地实现Threadfix，据Cornell说。他说用每次编译后运行的自动化测试来集成Threadfix是有可能的。自动化安全测试可以运行，结果会自动输送给Threadfix，然后生成安全报告。

Threadfix专注于做这样一个工具，该工具可一致集成所有最新最好的测试工具。Threadfix并不会将安全测试流程自动化，然而，它也不会自行运行任何安全测试。它是从现有的安全工具聚合各种漏洞信息，然后根据结果生成可执行的缺陷报告。Cornell说Threadfix可以跟其他的开源软件测试工具一并集成，但是将那些工具直接集成进Threadfix会事与愿违。“市面上已经有很多非常好的工具，而且仍在层出不穷，”他说：“我们再去开发和集成那些东西就相当于是白费功夫做重复工作了。”