進行自動化安全測試的七個地方

就我個人而言，我喜歡 DevSecOps(安全團隊在 Dev 和 Ops 正在執行的整個過程中編織安全性)。由於我的熱情，客戶經常詢問我何時、如何以及在何處注入各種類型的測試和其他安全活動。以下是我為客戶提供的用於自動化測試的選項清單(在 DevOps 中有更多的安全工作要做—這只是自動化測試)。他們一起分析清單並根據他們當前的狀態決定哪些地方最有意義，並根據他們當前的關注點選擇工具。

自動化測試的七個地方

1.在整合開發環境中：

• 幾乎像拼字檢查器一樣檢查程式碼的工具(不確定這叫什麼，有時稱為SAST)
• 代理程式管理和依賴工具，只允許您下載安全性套件
• API 和其他linting 工具，解釋您在哪裡沒有遵循定義檔
• 軟體組合分析告訴你，也許這些軟體包不是那麼安全使用

#2.預提交掛鉤：

Secret scanning—讓我們在安全事件發生之前將其阻止。

3.在程式碼儲存庫層級：

• 每週任務表：SCA 和SAST
• Linting
##IAC掃描

4.在管道中：必須快速且準確(幾乎沒有誤報)

Secret scanning - 再來一次!
• 基礎架構即程式碼掃描(IaC)
• 帶有來自Selenium 的HAR 檔案的DAST，或只是被動掃描(無模糊測試)
• SCA(如果你願意，最好使用與第一次不同的工具)
容器和基礎掃描，以及它們的依賴關係
• 將基礎架構掃描為程式碼以查找不良策略、配置和缺少的修補程式

5.管道外：

DAST 和模糊測試——每周自動運行!
• VA 掃描/基礎設施——每週應進行一次
• IAST — 在QA 測試和滲透測試期間安裝，如果您有信心，也可以在產品中安裝。
• SAST－測試每個主要版本或每次大更改後的所有內容，然後對結果進行手動審查。

6.單元測試：

進行開發人員的測試並將其轉化為負面測試/濫用案例。
• 根據滲透測試結果建立單元測試，以確保我們不會重蹈覆轍。

7.持續：

漏洞管理。您應該將所有掃描資料上傳到某種系統中，以尋找模式、趨勢和(最重要的)改進。

您不需要做所有這些，甚至不需要做其中的一半。本文的目的是向您展示幾種可能性，希望您能利用其中的一些。

以上是進行自動化安全測試的七個地方的詳細內容。更多資訊請關注PHP中文網其他相關文章！