Secara peribadi, saya suka DevSecOps (di mana pasukan keselamatan menganyam keselamatan sepanjang keseluruhan proses Dev dan Ops sedang dilaksanakan). Kerana minat saya, pelanggan sering bertanya kepada saya bila, bagaimana, dan di mana untuk menyuntik pelbagai jenis ujian dan aktiviti keselamatan lain. Di bawah ialah senarai pilihan yang saya tawarkan kepada pelanggan untuk ujian automatik (terdapat lebih banyak kerja keselamatan yang perlu dilakukan dalam DevOps - ini hanyalah ujian automatik). Bersama-sama mereka menganalisis senarai dan memutuskan di mana senarai itu paling masuk akal berdasarkan status semasa mereka, dan memilih alat berdasarkan fokus semasa mereka.
Tujuh Tempat untuk Ujian Automatik
1 Dalam persekitaran pembangunan bersepadu:
- Hampir seperti alat penyemak ejaan untuk periksa kod (tidak pasti apa nama ini, kadangkala dipanggil SAST)
- Alat pengurusan dan pergantungan ejen yang hanya membenarkan anda memuat turun pakej keselamatan
- API dan alat linting lain yang menerangkan di mana anda berada. untuk mengikuti fail definisi
- Analisis portfolio perisian memberitahu anda bahawa mungkin pakej ini tidak begitu selamat untuk digunakan
2. Cangkuk prakomit:
Pengimbasan rahsia - biarlah Kami hentikan insiden keselamatan sebelum ia berlaku.
3. Pada peringkat repositori kod:
- Senarai Tugas Mingguan: SCA dan SAST
- Linting
- Imbasan IAC
4. Dalam perancangan: Mesti pantas dan tepat (hampir tiada positif palsu)
- Pengimbasan rahsia - Sekali lagi
- Infrastruktur sebagai Pengimbasan Kod (IaC)
DAST dengan fail HAR daripada Selenium, atau hanya pengimbasan pasif (tiada ujian kabur) - SCA (sebaik-baiknya menggunakan alat yang berbeza daripada kali pertama jika anda mahu)
-
Bekas dan tapak pengimbasan, dan kebergantungan mereka -
Imbas infrastruktur sebagai kod untuk dasar yang buruk, konfigurasi dan tampung yang hilang -
5. Di luar saluran paip:
DAST dan ujian fuzz – dijalankan secara automatik setiap minggu! - Imbasan/infrastruktur VA – perlu dilakukan setiap minggu
- IAST – dalam ujian dan penembusan QA Dipasang semasa ujian, atau dalam pengeluaran jika anda yakin.
- SAST – Uji segala-galanya selepas setiap keluaran besar atau perubahan besar, kemudian semak keputusan secara manual.
-
6. Ujian Unit:
Ambil ujian pembangun dan tukarkannya kepada ujian negatif/kes penyalahgunaan. - Buat ujian unit berdasarkan keputusan ujian penembusan untuk memastikan kami tidak melakukan kesilapan yang sama lagi.
-
7. Sedang berlangsung:
Pengurusan kerentanan. Anda harus memuat naik semua data imbasan anda ke dalam beberapa jenis sistem untuk mencari corak, arah aliran dan (paling penting) penambahbaikan.
Anda tidak perlu melakukan semua ini, malah separuh daripadanya. Tujuan artikel ini adalah untuk menunjukkan kepada anda beberapa kemungkinan dan diharapkan anda akan dapat memanfaatkan sebahagian daripadanya.
Atas ialah kandungan terperinci Tujuh tempat untuk menjalankan ujian keselamatan automatik. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!