首頁 > 運維 > 安全 > 主體

進行自動化安全測試的七個地方

王林
發布: 2023-06-09 00:07:54
轉載
1476 人瀏覽過

就我個人而言,我喜歡 DevSecOps(安全團隊在 Dev 和 Ops 正在執行的整個過程中編織安全性)。由於我的熱情,客戶經常詢問我何時、如何以及在何處注入各種類型的測試和其他安全活動。以下是我為客戶提供的用於自動化測試的選項清單(在 DevOps 中有更多的安全工作要做—這只是自動化測試)。他們一起分析清單並根據他們當前的狀態決定哪些地方最有意義,並根據他們當前的關注點選擇工具。

進行自動化安全測試的七個地方

自動化測試的七個地方

1.在整合開發環境中:

  • 幾乎像拼字檢查器一樣檢查程式碼的工具(不確定這叫什麼,有時稱為SAST)
  • 代理程式管理和依賴工具,只允許您下載安全性套件
  • API 和其他linting 工具,解釋您在哪裡沒有遵循定義檔
  • 軟體組合分析告訴你,也許這些軟體包不是那麼安全使用

#2.預提交掛鉤:

Secret scanning—讓我們在安全事件發生之前將其阻止。

3.在程式碼儲存庫層級:

  • 每週任務表:SCA 和SAST
  • Linting
  • ##IAC掃描
4.在管道中:必須快速且準確(幾乎沒有誤報)

    Secret scanning - 再來一次!
  • 基礎架構即程式碼掃描(IaC)
  • 帶有來自Selenium 的HAR 檔案的DAST,或只是被動掃描(無模糊測試)
  • SCA(如果你願意,最好使用與第一次不同的工具)
  • 容器和基礎掃描,以及它們的依賴關係
  • 將基礎架構掃描為程式碼以查找不良策略、配置和缺少的修補程式
5.管道外:

    DAST 和模糊測試——每周自動運行!
  • VA 掃描/基礎設施——每週應進行一次
  • IAST — 在QA 測試和滲透測試期間安裝,如果您有信心,也可以在產品中安裝。
  • SAST-測試每個主要版本或每次大更改後的所有內容,然後對結果進行手動審查。
6.單元測試:

    進行開發人員的測試並將其轉化為負面測試/濫用案例。
  • 根據滲透測試結果建立單元測試,以確保我們不會重蹈覆轍。
7.持續:

漏洞管理。您應該將所有掃描資料上傳到某種系統中,以尋找模式、趨勢和(最重要的)改進。

您不需要做所有這些,甚至不需要做其中的一半。本文的目的是向您展示幾種可能性,希望您能利用其中的一些。

以上是進行自動化安全測試的七個地方的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:51cto.com
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
最新問題
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板