Betrieb und Instandhaltung
Sicherheit
Sieben Orte zur Durchführung automatisierter Sicherheitstests
Sieben Orte zur Durchführung automatisierter Sicherheitstests
Ich persönlich liebe DevSecOps (Sicherheitsteams integrieren Sicherheit in den gesamten Prozess, den Dev und Ops ausführen). Aufgrund meiner Leidenschaft fragen mich Kunden oft, wann, wie und wo verschiedene Arten von Tests und anderen Sicherheitsaktivitäten implementiert werden sollen. Nachfolgend finden Sie eine Liste der Optionen, die ich Kunden für automatisierte Tests anbiete (in DevOps gibt es noch viel mehr Sicherheitsarbeit zu erledigen – hier handelt es sich lediglich um automatisierte Tests). Gemeinsam analysieren sie die Liste und entscheiden, wo sie aufgrund ihres aktuellen Zustands am sinnvollsten ist, und wählen Tools basierend auf ihrem aktuellen Fokus aus.
Sieben Orte für automatisierte Tests
1. In einer integrierten Entwicklungsumgebung:
- Ein Tool, das Ihren Code fast wie eine Rechtschreibprüfung prüft (nicht sicher, wie das heißt, manchmal auch SAST genannt)
- Agentenverwaltung und Abhängigkeitstools, mit denen Sie nur sichere Pakete herunterladen können. API und andere Linting-Tools, die erklären, wo Sie Definitionsdateien nicht befolgen. Die Analyse der Softwarezusammensetzung zeigt Ihnen, dass die Verwendung dieser Pakete möglicherweise nicht so sicher ist -Commit-Hooks:
- Geheimes Scannen – Stoppen wir Sicherheitsvorfälle, bevor sie passieren.
- 3. Auf Code-Repository-Ebene:
Wöchentliche Aufgabenliste: SCA und SAST
Linting
IAC-Scan
- 4. Muss schnell und genau sein (fast keine Fehlalarme)
- Geheimes Scannen – machen Sie es noch einmal!
- Infrastruktur als Code-Scanning (IaC)
DAST mit HAR-Dateien von Selenium, oder einfach passives Scannen (kein Fuzz-Testen)
- SCA (vorzugsweise mit dem ersten verwenden, wenn Sie es vorziehen) mal verschiedene Tools )
- Container- und Infrastruktur-Scanning und ihre Abhängigkeiten
- Infrastruktur als Code auf fehlerhafte Richtlinien, Konfigurationen und fehlende Patches scannen
- 5. Außerhalb der Pipeline:
- DAST- und Fuzz-Tests – werden automatisch wöchentlich ausgeführt
- VA Scan/Infrastruktur – Sollte wöchentlich durchgeführt werden
IAST – Installiert während QA-Tests und Penetrationstests oder in der Produktion, wenn Sie sicher sind.
- SAST – Testen Sie alles nach jeder größeren Veröffentlichung oder großen Änderung und überprüfen Sie dann die Ergebnisse manuell.
- 6. Unit-Tests:
- Nehmen Sie die Tests der Entwickler und wandeln Sie sie in negative Tests/Missbrauchsfälle um.
- Erstellen Sie Unit-Tests basierend auf den Ergebnissen der Penetrationstests, um sicherzustellen, dass wir dieselben Fehler nicht noch einmal machen.
- Schwachstellenmanagement. Sie sollten alle Ihre Scandaten in ein System hochladen, um nach Mustern, Trends und (am wichtigsten) Verbesserungen zu suchen.
- Sie müssen nicht alles oder auch nur die Hälfte davon tun. Der Zweck dieses Artikels besteht darin, Ihnen einige Möglichkeiten aufzuzeigen und hoffentlich können Sie einige davon nutzen.
Das obige ist der detaillierte Inhalt vonSieben Orte zur Durchführung automatisierter Sicherheitstests. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!
Heißer Artikel
Heiße Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Heiße Themen
1393
52
1209
24
PHP-Mikroframework: Sicherheitsdiskussion von Slim und Phalcon
Jun 04, 2024 am 09:28 AM
Im Sicherheitsvergleich zwischen Slim und Phalcon im PHP-Mikroframework verfügt Phalcon über integrierte Sicherheitsfunktionen wie CSRF- und XSS-Schutz, Formularvalidierung usw., während Slim keine sofort einsatzbereiten Sicherheitsfunktionen aufweist und eine manuelle Implementierung erfordert Sicherheitsmaßnahmen. Für sicherheitskritische Anwendungen bietet Phalcon einen umfassenderen Schutz und ist die bessere Wahl.
Implementierung von Algorithmen für maschinelles Lernen in C++: Sicherheitsüberlegungen und Best Practices
Jun 01, 2024 am 09:26 AM
Bei der Implementierung von Algorithmen für maschinelles Lernen in C++ sind Sicherheitsaspekte von entscheidender Bedeutung, einschließlich Datenschutz, Modellmanipulation und Eingabevalidierung. Zu den Best Practices gehören die Einführung sicherer Bibliotheken, die Minimierung von Berechtigungen, die Verwendung von Sandboxing und die kontinuierliche Überwachung. Der praktische Fall demonstriert die Verwendung der Botan-Bibliothek zum Ver- und Entschlüsseln des CNN-Modells, um sicheres Training und Vorhersage zu gewährleisten.
Sicherheitskonfiguration und Härtung des Struts 2-Frameworks
May 31, 2024 pm 10:53 PM
Um Ihre Struts2-Anwendung zu schützen, können Sie die folgenden Sicherheitskonfigurationen verwenden: Nicht verwendete Funktionen deaktivieren. Inhaltstypprüfung aktivieren. Eingaben validieren. Sicherheitstokens aktivieren. CSRF-Angriffe verhindern. Verwenden Sie RBAC, um den rollenbasierten Zugriff einzuschränken
Wie sollte das Design der Sicherheitsarchitektur des Java-Frameworks mit den Geschäftsanforderungen in Einklang gebracht werden?
Jun 04, 2024 pm 02:53 PM
Das Java-Framework-Design ermöglicht Sicherheit, indem es Sicherheitsanforderungen mit Geschäftsanforderungen in Einklang bringt: Identifizierung wichtiger Geschäftsanforderungen und Priorisierung relevanter Sicherheitsanforderungen. Entwickeln Sie flexible Sicherheitsstrategien, reagieren Sie schichtweise auf Bedrohungen und nehmen Sie regelmäßige Anpassungen vor. Berücksichtigen Sie architektonische Flexibilität, unterstützen Sie die Geschäftsentwicklung und abstrakte Sicherheitsfunktionen. Priorisieren Sie Effizienz und Verfügbarkeit, optimieren Sie Sicherheitsmaßnahmen und erhöhen Sie die Sichtbarkeit.
Welche Wallet ist sicherer für SHIB-Coins? (Muss für Neulinge gelesen werden)
Jun 05, 2024 pm 01:30 PM
SHIB-Coin ist für Anleger kein Unbekannter mehr. Es handelt sich um einen konzeptionellen Token vom gleichen Typ wie Dogecoin. Mit der Entwicklung des Marktes ist SHIB auf Platz 12 gestiegen. Es ist ersichtlich, dass der SHIB-Markt heiß ist und unzählige Investitionen anzieht . Investoren beteiligen sich an der Investition. In der Vergangenheit kam es auf dem Markt häufig zu Transaktionen und Sicherheitsvorfällen bei Wallets. Viele Anleger waren besorgt über das Speicherproblem von SHIB. Sie fragen sich, welches Wallet derzeit sicherer für die Aufbewahrung von SHIB-Coins ist. Laut Marktdatenanalyse handelt es sich bei den relativ sicheren Wallets hauptsächlich um OKXWeb3Wallet-, imToken- und MetaMask-Wallets, die relativ sicher sein werden. Als Nächstes wird der Herausgeber ausführlich auf sie eingehen. Welche Wallet ist sicherer für SHIB-Coins? Derzeit werden SHIB-Münzen auf OKXWe platziert
So verbessern Sie die Sicherheit des Spring Boot-Frameworks
Jun 01, 2024 am 09:29 AM
So verbessern Sie die Sicherheit des SpringBoot-Frameworks Es ist von entscheidender Bedeutung, die Sicherheit von SpringBoot-Anwendungen zu verbessern, um Benutzerdaten zu schützen und Angriffe zu verhindern. Im Folgenden sind einige wichtige Schritte zur Verbesserung der SpringBoot-Sicherheit aufgeführt: 1. HTTPS aktivieren Verwenden Sie HTTPS, um eine sichere Verbindung zwischen dem Server und dem Client herzustellen und zu verhindern, dass Informationen abgehört oder manipuliert werden. In SpringBoot kann HTTPS aktiviert werden, indem in application.properties Folgendes konfiguriert wird: server.ssl.key-store=path/to/keystore.jksserver.ssl.k
So implementieren Sie Best Practices für die PHP-Sicherheit
May 05, 2024 am 10:51 AM
So implementieren Sie Best Practices für die PHP-Sicherheit PHP ist eine der beliebtesten Backend-Webprogrammiersprachen, die zum Erstellen dynamischer und interaktiver Websites verwendet wird. Allerdings kann PHP-Code verschiedene Sicherheitslücken aufweisen. Um Ihre Webanwendungen vor diesen Bedrohungen zu schützen, ist die Implementierung bewährter Sicherheitspraktiken von entscheidender Bedeutung. Eingabevalidierung Die Eingabevalidierung ist ein wichtiger erster Schritt zur Validierung von Benutzereingaben und zur Verhinderung böswilliger Eingaben wie SQL-Injection. PHP bietet eine Vielzahl von Eingabevalidierungsfunktionen, wie zum Beispiel filter_var() und preg_match(). Beispiel: $username=filter_var($_POST['username'],FILTER_SANIT
Strategien zur Verhinderung von PHP-Schwachstellen
May 01, 2024 am 09:30 AM
Zu den Strategien zur Verhinderung von PHP-Schwachstellen gehören: 1. Eingabevalidierung (Benutzereingaben validieren), 2. Ausgabe-Escape (Escape-Daten zur Verhinderung von XSS-Angriffen), 3. Sitzungsverwaltung (Sicherheitstoken und HTTPS durchsetzen), 4. Codeüberprüfung (potenzielle Schwachstellen prüfen) , 5. Verwenden Sie bekanntermaßen gute Bibliotheken, 6. Halten Sie die Software auf dem neuesten Stand, 7. Verwenden Sie sichere Hosting-Dienste, 8. Führen Sie regelmäßige Schwachstellenscans durch, 9. Steigern Sie das Sicherheitsbewusstsein der Mitarbeiter.
