前幾天在西湖邊和煤老板、咖啡提到某牛的某產(chǎn)品銷售使用問題，主要是說某牛的這個產(chǎn)品其實是非常nb的一個東西，但是呢？銷售不大而且售后反饋也不雜理想！這個的原因就是這個產(chǎn)品所用的人不會用��！或者說根本就看不明白！

    今天在大風(fēng)的blog文《如何自動化檢測DOM based XSS》然后有人回復(fù)提到“實際效果”問題，其實這都屬于“工具與人”的問題，

工具與人

。

    我們先看看“工具”的定義：工具是指能夠方便人們完成工作的器具。毛爺爺說過：“生產(chǎn)力有兩項，一項是人，一項是工具。工具是人創(chuàng)造的�！� 雖然現(xiàn)代人工智能讓工具有了一點的智能化，但是工具最后還是又人來所用！

    我們具體來說說這個安全測試的tool，不管是白盒還是黑盒類的測試工具！它們的“智能”話都是有限的,也就是說判斷“漏洞”的能力是有限的！這個能力的體現(xiàn)就在常說的漏洞的誤報率與漏報率了。而對“誤報率”與“漏報率”的追求有時候又是相悖的。這個時候?qū)τ谀惝a(chǎn)品的設(shè)計，取決于所用者的“需求”。如果使用者是甲方，他們的產(chǎn)品線很長，在如sdl的過程里，需要自動測試下比較簡單的漏洞類型，那么產(chǎn)品設(shè)計趨向于減少“簡單漏洞類型”的“誤報率”，那么你的產(chǎn)品必然漏洞的“漏報率”高了，從所用者的角度那說那就不需要太多的“水平”要求了[因為tool已經(jīng)給判斷了]，

電腦資料

《工具與人》(http://www.ishadingyu.com)。對于乙方，有單位或者個人之需要找到可以利用的漏洞，對于時間效率因素沒太多追求，那他產(chǎn)品設(shè)計盡可能的加強“撒網(wǎng)”了，也就是說減少對漏洞的“漏報率”，那么從所用者的角度來講，需要的“水平”要求就高了[因為最后的漏洞判斷在于人]。當(dāng)然上面提到的“甲方”和“乙方”的需求不是絕對的，只是作個比方而已。

    所以“需求”決定一切，包括測試產(chǎn)品的設(shè)計開發(fā)，以及所用者的要求��！

    正是上面的問題，很多甲方公司發(fā)現(xiàn)個問題，那就是市場上那些商業(yè)、免費的測試工具，在自己的環(huán)境里根本根本就沒有啥子效果！于是大的公司選擇自己開發(fā)...

    另外甲方公司開發(fā)的東西，也不應(yīng)該是一成不變的，也要根本你的“需求”來變化，這個需求還包括你的具體的應(yīng)用不同而不同。而這個“變化”也包括對于你的測試工具的設(shè)計方式，比如fuzzer，如果全世界的用同一個設(shè)計，那就不需要那么多人去跑了！:)

    Tool的設(shè)計思想很重要！