자동화된 보안 테스트를 수행할 수 있는 7개 장소

개인적으로 저는 DevSecOps를 좋아합니다(보안 팀은 Dev 및 Ops가 실행하는 전체 프로세스에 걸쳐 보안을 엮습니다). 나의 열정 때문에 고객들은 다양한 유형의 테스트 및 기타 보안 활동을 언제, 어떻게, 어디에 주입해야 하는지 자주 묻습니다. 다음은 자동화된 테스트를 위해 클라이언트에게 제공하는 옵션 목록입니다(DevOps에서 수행할 보안 작업이 훨씬 더 많습니다. 이는 단지 자동화된 테스트일 뿐입니다). 그들은 함께 목록을 분석하고 현재 상태를 기준으로 가장 적합한 위치를 결정하고 현재 초점을 기준으로 도구를 선택합니다.

자동 테스트를 위한 7가지 장소

1. 통합 개발 환경에서:

• 맞춤법 검사기와 거의 비슷하게 코드를 검사하는 도구(무슨 이름인지는 모르겠지만 SAST라고도 함)
• 에이전트 관리 보안 패키지만 다운로드할 수 있는 종속성 도구
• API 및 정의 파일을 따르지 않는 위치를 설명하는 기타 린팅 도구
• 소프트웨어 구성 분석을 통해 이러한 패키지가 사용하기에 안전하지 않을 수 있음을 알 수 있습니다

2. -커밋 후크:

비밀 스캐닝 – 보안 사고가 발생하기 전에 예방하세요.

3. 코드 저장소 수준:

• 주간 작업 목록: SCA 및 SAST
• Linting
• IAC 스캔

4 파이프라인: 빠르고 정확해야 합니다(거의 오탐이 없음)

• 비밀 스캐닝 - 다시 수행하세요!
• Selenium의 HAR 파일을 사용하는 코드 스캐닝(IaC)
• DAST 또는 수동 스캐닝(퍼즈 테스트 없음)
• SCA(원하는 경우 첫 번째 도구와 함께 사용하는 것이 좋음) )
• 컨테이너 및 인프라 검색 및 해당 종속성
• 잘못된 정책, 구성 및 누락된 패치에 대한 코드로 인프라 검색

5. 파이프라인 외부:

• DAST 및 퍼지 테스트 - 매주 자동 실행
• VA! 스캔/인프라 - 매주 수행해야 합니다.
• IAST - QA 테스트 및 침투 테스트 중에 설치하거나 자신감이 있는 경우 프로덕션 중에 설치됩니다.
• SAST – 주요 릴리스나 큰 변경이 있을 때마다 모든 것을 테스트한 다음 수동으로 결과를 검토합니다.

6. 단위 테스트:

• 개발자의 테스트를 받아 부정적인 테스트/악용 사례로 변환합니다.
• 침투 테스트 결과를 기반으로 단위 테스트를 만들어 동일한 실수를 반복하지 않도록 하세요.

7. 진행 중:

취약점 관리. 패턴, 추세 및 (가장 중요한) 개선 사항을 찾으려면 모든 스캔 데이터를 일종의 시스템에 업로드해야 합니다.

이 모든 작업을 수행할 필요는 없으며 절반도 수행할 수 없습니다. 이 글의 목적은 여러분에게 몇 가지 가능성을 보여주고 여러분이 그 중 일부를 활용할 수 있기를 바랍니다.

위 내용은 자동화된 보안 테스트를 수행할 수 있는 7개 장소의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!