數據泄露是醫療行業信息系統面臨的主要風險之一。由于這個行業保存了大量的敏感信息，比如個人信息、財務信息和健康信息等，一旦泄露，容易引發嚴重的后果。因此，無論是醫院還是醫療服務公司，都在積極尋求預防性措施，防患于未然。

　　Rally是一家美國的醫療服務公司，旨在簡化醫療服務流程，為公司和員工管理復雜的福利政策，并幫助改善整體健康狀況。此外，公司開發團隊支持Rally數字生態系統內的關鍵服務，以建立用戶身份并驗證資格。

　　Rally使用云提供商PaaS服務和IaaS虛擬基礎架構（包括Amazon Web和Relational Database Service服務，以及MongoDB和Scala），這些基礎架構涵蓋身份管理、提供商及患者資格，以及最終用戶和特權用戶系統。

　　Rally的軟件安全工程師Nathan Coleman表示：“我們希望對云基礎架構進行全面的架構風險分析，尤其是身份驗證和資格系統。這是我們還未完善的領域，公司亟需精通這方面技術的人才。新思科技擁有我們所需的專業技術知識，而且能確保與我們面談的專業人士也會負責接下來的審查分析。而很多其它供應商不能確保這點。這也是我們選擇和新思科技合作的原因之一。”

　　Rally主要有三個方面需要安全評估：

　　其核心身份驗證和授權系統的安全狀態；

　　安全控制；

　　洞察其運行時環境的威脅狀況。

　　新思科技軟件質量與安全部門為Rally提供的服務包括架構風險分析（ARA）、配置審查和代碼輔助滲透測試。

　　配置審查深入評估Rally云基礎架構安全狀況，并審核了其部署的云應用程序和安全控制運行時配置，以識別漏洞，并提供描述配置如何滿足或不滿足安全性目標的簡要報告。

　　滲透測試識別Rally管理的數據中哪些是敏感的，并開發應用程序，根據易受攻擊狀況及有可能被利用的方式進行分類。每個問題都是按照感知風險的順序進行測試，使用手動和基于工具的混合方式進行運行時和安全代碼分析。

　　Nathan Coleman 指出：“ARA驗證了我們對架構的理解，并提供了建議。編碼系統滲透測試和配置審查為修復提供了明確的路徑 – 不僅檢測出配置存在的問題，而且指導我們如何解決問題。ARA結果會反饋給滲透測試，誤報率很低。配置審查可能是直接融入我們工作流程最簡單的方法。”

　　他接著說：“我們希望進行徹底的架構風險分析，尤其是身份驗證和資格系統。”

　　他總結道：“和新思科技合作十分順暢，他們提供了專業的技術，分享了豐富的知識。我們熱切期望參與到安全社區，并推動安全發展。與新思科技的合作有助于推動我們實現這兩個目標。”