就我個人而言,我喜歡 DevSecOps(安全團隊在 Dev 和 Ops 正在執行的整個過程中編織安全性)。由於我的熱情,客戶經常詢問我何時、如何以及在何處注入各種類型的測試和其他安全活動。以下是我為客戶提供的用於自動化測試的選項清單(在 DevOps 中有更多的安全工作要做—這只是自動化測試)。他們一起分析清單並根據他們當前的狀態決定哪些地方最有意義,並根據他們當前的關注點選擇工具。
自動化測試的七個地方
1.在整合開發環境中:
- 幾乎像拼字檢查器一樣檢查程式碼的工具(不確定這叫什麼,有時稱為SAST)
- 代理程式管理和依賴工具,只允許您下載安全性套件
- API 和其他linting 工具,解釋您在哪裡沒有遵循定義檔
- 軟體組合分析告訴你,也許這些軟體包不是那麼安全使用
#2.預提交掛鉤:
Secret scanning—讓我們在安全事件發生之前將其阻止。
3.在程式碼儲存庫層級:
- 每週任務表:SCA 和SAST
- Linting
##IAC掃描-
4.在管道中:必須快速且準確(幾乎沒有誤報)
Secret scanning - 再來一次!- 基礎架構即程式碼掃描(IaC)
- 帶有來自Selenium 的HAR 檔案的DAST,或只是被動掃描(無模糊測試)
- SCA(如果你願意,最好使用與第一次不同的工具)
-
容器和基礎掃描,以及它們的依賴關係- 將基礎架構掃描為程式碼以查找不良策略、配置和缺少的修補程式
-
5.管道外:
DAST 和模糊測試——每周自動運行!- VA 掃描/基礎設施——每週應進行一次
- IAST — 在QA 測試和滲透測試期間安裝,如果您有信心,也可以在產品中安裝。
- SAST-測試每個主要版本或每次大更改後的所有內容,然後對結果進行手動審查。
-
6.單元測試:
進行開發人員的測試並將其轉化為負面測試/濫用案例。 - 根據滲透測試結果建立單元測試,以確保我們不會重蹈覆轍。
-
7.持續:
漏洞管理。您應該將所有掃描資料上傳到某種系統中,以尋找模式、趨勢和(最重要的)改進。
您不需要做所有這些,甚至不需要做其中的一半。本文的目的是向您展示幾種可能性,希望您能利用其中的一些。
以上是進行自動化安全測試的七個地方的詳細內容。更多資訊請關注PHP中文網其他相關文章!