随着开发人员引入越来越多的第三方软件组件和合作伙伴API，但对此我们双没有直接的控制权，这样我们如何测试第三方应用的安全性？

在自己的代码中找到并修复缺陷已经很难了，而第三方应用安全却更增加了难度。每年我测试许多本土的Web应用程序安全漏洞，通过渗透测试和分析源代码。这些应用中的许多都含有第三方组件，不可避免地发现一、两个有情况的，并写入报告。

对第三方软件组件进行安全漏洞测试与对自己的软件进行测试其它没什么区别。作为实际测试而言, 唯一的不同是你不能够执行源代码分析，除非它是开放源码软件供你使用。除此之外，只能使用标准的道德黑客方法寻找安全漏洞。寻找SQL注入、会话管理弱点、跨站点脚本和其他常见且存档的软件漏洞。如果你喜欢的话，对自己的代码使用相同的web应用攻击方法。最后，预期的效果（找到并修复漏洞，这样业务风险就可以降低）也一样。

谨记一件事：并只是找出第三方软件组件安全漏洞就可以。真正的挑战是如何说服第三方厂商修复问题。在你的测试中一个关键漏洞可能对厂商或编写代码的开发人员并不那么重要。我经常看到这些。你需要准备一些案例，关于业务风险的。如果你的业务是一个足够大的客户开发人员，那么他们可能接受你的担忧。如果你没有得到这种殊荣，那么你有两个选择：找到替代解决方案并把业务转移到其它地方；或者把你的案例展示给管理者，让他们决定此漏洞对于他们的是否是可接受的风险

Kevin Beaver是位于亚特兰大Principle Logic公司的信息安全咨询师、鉴定专家和专业发言人。具有24年的行业经验，主要从事执行独立网站与应用安全评估，从而降低业务风险。他编著以及合著了11本关于信息安全的书，包括《Hacking For Dummies, 4th edition》和《The Practical Guide to HIPAA Privacy and Security Compliance》。