PoC 是什么？

企业业务相关代表或负责人会对需要接受测试的供应商发布邀请与 PoC 测试工作说明，供应商接受邀请后，创设共同交流平台（ PoC 协同群），便于沟通交流。进行私有化部署时，要先向供应商了解环境部署相关要求，再一同执行部署工作，并要求企业参与人员对部署情况进行完整的记录。

工作启动阶段完成后，根据企业提供的 PoC 测试工作说明及对应测试模块的案例或方案，供应商需要在现场对产品进行测试论证。功能测试过程中，企业相关参与人员也会参加测试，进行测试记录与意见记录，供应商在此阶段需要进行现场操作指导。

根据企业提供的技术要求，供应商会给出相关支持文档，而企业需要对相关文档进行现场比对，对实际的检测情况进行完整记录，并根据供应商提供的资料进行对比记录。涉及到场景 Demo 设计的，企业对实施人员的能力、实施时长以及实施准确性进行比对，会有助于得到更准确的测试结果。

间歇性测试可以在工作启动阶段同步进行。除了功能测试之外，还需要对关键用户的体验心得、易用性评价进行记录分析。该测试阶段允许企业用户进行主观判断评价，可以通过扩大间歇性测试组织范围，提高测试准确性，测试期间需做好测试用户记录。

该部分工作在工作启动阶段，也可以同步开始。商务验证阶段，供应商应当根据企业提供的商务测评方案，积极配合测评工作。涉及到客户核实相关内容的，企业同样需要逐个进行考证。

该阶段一般是 PoC 测试的最后一个工作环节，在前期的测试环节中，每个阶段的工作都对参与人、时间、工作说明进行了记录，测试记录文件和企业及供应商相关的文档都要进行分类、归档。根据文件记录资料等，对每个阶段进行分析对比，并进行整体工作分析总结。

开发人员可以直接使用现有的开源 PoC 框架，也可以自己编写 PoC 框架。在框架构建完毕后，框架的代码规范和接口相关信息也需要熟练掌握，这些信息直接关系到能否编写出高质量的 PoC。开发人员也可以不构建框架直接编写 PoC，但这样会面临较多的风险。

在编写 PoC 之前，需要先全面了解漏洞详情。可以通过官方网站或其他渠道，找到一些开源 CMS 对应版本的源码，对其搭建模拟环境进行研究；对于没有官方网站的不开源漏洞，可以通过网络搜索案例进行黑盒测试，手动尝试复原漏洞产生过程，但不建议进行破坏性试验。

构建流程中，为保护 PoC 搭建成果，在 PoC 调试时最好利用虚拟机等手段，搭建模拟环境进行调试。为保护目标，除特殊情况外，不建议直接利用互联网上的 Web 应用调试 PoC。

合适的编程语言能够让编写人员将精力集中到具体的漏洞研究之上，无需为了实现辅助功能而耗费大量的时间与精力，大大提高编程的效率与质量，对于 PoC 的编写也是同样。

Amazon CodeBuild 无需设置、修补、更新和管理客户的构建服务器和软件。没有要安装或管理的软件。

Amazon CodeBuild 可自动扩展和缩减以满足客户的构建量。它会立即处理客户提交的每个构建，并且可以同时单独运行构建任务，这意味着客户的构建请求无需在队列中等待。

Amazon CodeBuild 属于亚马逊云科技 Code Services 系列，可用于创建完整的自动化软件发布工作流程，以实现持续集成和交付 (CI/CD)。客户还可以将 CodeBuild 集成到现有的 CI/CD 工作流程中。