Sept endroits pour effectuer des tests de sécurité automatisés

Personnellement, j'adore DevSecOps (les équipes de sécurité tissent la sécurité tout au long du processus exécuté par les développeurs et les opérations). En raison de ma passion, les clients me demandent souvent quand, comment et où injecter divers types de tests et autres activités de sécurité. Vous trouverez ci-dessous une liste d'options que je propose aux clients pour les tests automatisés (il y a beaucoup plus de travail de sécurité à faire dans DevOps - il ne s'agit que de tests automatisés). Ensemble, ils analysent la liste et décident où cela a le plus de sens en fonction de leur statut actuel, et sélectionnent les outils en fonction de leur objectif actuel.

Sept places pour les tests automatisés

1. Dans l'environnement de développement intégré :

# 🎜🎜#Un outil qui vérifie votre code presque comme un correcteur orthographique (je ne sais pas comment cela s'appelle, parfois appelé SAST)
• Outil de gestion des agents et des dépendances qui vous permet uniquement de télécharger des packages sécurisés #🎜🎜 #
• API et autres outils de peluchage, expliquez où vous ne suivez pas le fichier de définition
• L'analyse de la composition du logiciel vous indique que ces packages ne sont peut-être pas si sûrs à utiliser
#🎜🎜 ##🎜 🎜#2. Hook de pré-commit :
• Analyse secrète – Arrêtons les incidents de sécurité avant qu'ils ne se produisent.

3. Au niveau du référentiel de code :

Liste des tâches hebdomadaires : SCA et SAST

Linting

# 🎜 🎜#IAC SCAN
• 4. En cours : doit être rapide et précis (presque pas de faux positifs)
• Scan secret - Encore une fois !

Infrastructure as Code Scanning (IaC)

DAST avec des fichiers HAR de Selenium, ou simplement une analyse passive (pas de test de fuzz)
• #🎜🎜 #SCA (de préférence en utilisant un outil différent de la première fois si vous préférez)
• Analyse des conteneurs et de l'infrastructure, ainsi que leurs dépendances
• Analyser l'infrastructure en tant que code pour trouver les mauvaises politiques, configurations et correctifs manquants # 🎜🎜#
• 5. Hors du pipeline :
• Tests DAST et fuzz – exécutés automatiquement chaque semaine
• VA Scan ! /Infrastructure – doit être effectuée chaque semaine

IAST – installée pendant les tests d'assurance qualité et les tests d'intrusion, ou en production si vous vous sentez en confiance.

SAST – Testez tout après chaque version majeure ou changement important, puis examinez manuellement les résultats.
• 6. Tests unitaires :
• Faites les tests du développeur et transformez-les en tests négatifs/cas d'abus.
• Créez des tests unitaires basés sur les résultats des tests d'intrusion pour nous assurer de ne plus commettre les mêmes erreurs.

7. En cours :

• Gestion des vulnérabilités. Vous devez télécharger toutes vos données d'analyse dans une sorte de système pour rechercher des modèles, des tendances et (surtout) des améliorations.
• Vous n'avez pas besoin de faire tout cela, ni même la moitié. Le but de cet article est de vous montrer quelques possibilités et j'espère que vous pourrez profiter de certaines d'entre elles.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!