一般來說，測試機構與安全廠商的關系是相互扶持、共同發展的，但也有例外，開啟了互撕模式，成為冤家對簿公堂的。本月18日，美國獨立網絡安全評測機構nss labs就將crowdstrike、symantec、eset等商，以及反惡意程序測試標準組織（anti-malware testing standards organization，amtso）告上了法庭。

測試機構與安全廠商對簿公堂

注：amtso是家非營利組織，創立于2008年，其主要任務是針對安全解決方案推出公平、公開且可靠的測試標準。目前網絡安全領域中的知名廠商幾乎都是amtso的會員，包括nss labs在內。

在nss labs看來，這幾家商聯合amtso一起試圖壟斷網絡安全產品的測試服務，以期掩蓋殺毒軟件中存在的漏洞缺陷。

據nss labs首席執行官vikram phatak介紹，該實驗室一直致力于網絡安全產品的獨立測試工作，期望通過網絡安全產品的測試，來發現其中的安全隱患，然后將漏洞結果反饋給產品制造商，促使其進行修補，達到提升產品安全性的目的。對此，一些安全廠商表現積極，會對發現的漏洞展開修復，但也有一些廠商則會消極應對，甚至阻撓其產品參與測評。

vikram phatak指出，如果僅是一家安全廠商拒絕被測試，自會引發市場猜忌，但如果是一群安全廠商聯手抵制某個獨立評測實驗室的話，那么廠商的問題就不會被發現，落得高枕無憂。顯然后者的危害性更大，這也是為何nss labs決定要將他們告上法庭的關鍵原因。

而且據vikram phatak反映，amtso雖然貌似是個獨立的非營利標準組織，但其所推動的測試標準實際上依舊是由上述同一批安全廠商所制定，而非中立的第三方測試機構來設定。這就對測試的公平公正性造成了消極影響。由此，更讓這些安全廠商有了抵制第三方測試機構的口實，甚至直接阻撓測試機構對其產品的購買與測試。

例如在crowdstrike的用戶授權條款中，就指出如想對其產品進行測試，必須取得許可授權才行。而這種聲明無疑是此地無銀三百兩，不僅有損透明度，還會阻礙消費者對其產品性能做出正確的評估。

在訴狀中nss labs透露，當amtso進行測試標準的表決時，不只是nss labs，包括av-comparatives、av-test及skd labs等其它評測機構實際上也均表示反對的。而后便會收到來自安全廠商的威脅，表示如果不同意該標準就不采用他們提供的評測服務。

對此，被告之一的crowdstrike則向媒體回應，nss labs才是家營利且收黑錢的測試機構，其常以詐騙手法獲取到產品，再通過公開測試來宣揚其商業模式是透明的。因此有理由相信此一訴訟是毫無根據的。而且crowdstrike還強調，其旗下產品也曾交由av-comparatives、se labs與mitre等獨立機構進行過測試。

實際上，去年crowdstrike也曾與nss labs過招，當時是請求法院對nss labs發禁令，試圖阻止nss labs在rsa大會上公布其測試結果，不過crowdstrike最后敗訴了。

在筆者看來，網絡安全無小事，對于測試標準制定與執行，自應拿到明面上弄個明明白白才好，而且真金不怕火來煉，所謂有監督才有進步嘛，因此撕撕更健康。

本文屬于原創文章，如若轉載，請注明來源：net.zol.com.cn/698/6988347.html

以上是網絡信息轉載，信息真實性自行斟酌。