一般来说，测试机构与安全厂商的关系是相互扶持、共同发展的，但也有例外，开启了互撕模式，成为冤家对簿公堂的。本月18日，美国独立网络安全评测机构nss labs就将crowdstrike、symantec、eset等商，以及反恶意程序测试标准组织（anti-malware testing standards organization，amtso）告上了法庭。

测试机构与安全厂商对簿公堂

注：amtso是家非营利组织，创立于2008年，其主要任务是针对安全解决方案推出公平、公开且可靠的测试标准。目前网络安全领域中的知名厂商几乎都是amtso的会员，包括nss labs在内。

在nss labs看来，这几家商联合amtso一起试图垄断网络安全产品的测试服务，以期掩盖杀毒软件中存在的漏洞缺陷。

据nss labs首席执行官vikram phatak介绍，该实验室一直致力于网络安全产品的独立测试工作，期望通过网络安全产品的测试，来发现其中的安全隐患，然后将漏洞结果反馈给产品制造商，促使其进行修补，达到提升产品安全性的目的。对此，一些安全厂商表现积极，会对发现的漏洞展开修复，但也有一些厂商则会消极应对，甚至阻挠其产品参与测评。

vikram phatak指出，如果仅是一家安全厂商拒绝被测试，自会引发市场猜忌，但如果是一群安全厂商联手抵制某个独立评测实验室的话，那么厂商的问题就不会被发现，落得高枕无忧。显然后者的危害性更大，这也是为何nss labs决定要将他们告上法庭的关键原因。

而且据vikram phatak反映，amtso虽然貌似是个独立的非营利标准组织，但其所推动的测试标准实际上依旧是由上述同一批安全厂商所制定，而非中立的第三方测试机构来设定。这就对测试的公平公正性造成了消极影响。由此，更让这些安全厂商有了抵制第三方测试机构的口实，甚至直接阻挠测试机构对其产品的购买与测试。

例如在crowdstrike的用户授权条款中，就指出如想对其产品进行测试，必须取得许可授权才行。而这种声明无疑是此地无银三百两，不仅有损透明度，还会阻碍消费者对其产品性能做出正确的评估。

在诉状中nss labs透露，当amtso进行测试标准的表决时，不只是nss labs，包括av-comparatives、av-test及skd labs等其它评测机构实际上也均表示反对的。而后便会收到来自安全厂商的威胁，表示如果不同意该标准就不采用他们提供的评测服务。

对此，被告之一的crowdstrike则向媒体回应，nss labs才是家营利且收黑钱的测试机构，其常以诈骗手法获取到产品，再通过公开测试来宣扬其商业模式是透明的。因此有理由相信此一诉讼是毫无根据的。而且crowdstrike还强调，其旗下产品也曾交由av-comparatives、se labs与mitre等独立机构进行过测试。

实际上，去年crowdstrike也曾与nss labs过招，当时是请求法院对nss labs发禁令，试图阻止nss labs在rsa大会上公布其测试结果，不过crowdstrike最后败诉了。

在笔者看来，网络安全无小事，对于测试标准制定与执行，自应拿到明面上弄个明明白白才好，而且真金不怕火来炼，所谓有监督才有进步嘛，因此撕撕更健康。

本文属于原创文章，如若转载，请注明来源：net.zol.com.cn/698/6988347.html

以上是网络信息转载，信息真实性自行斟酌。