一、频发的安全事件
道哥曾说过,互联网本来是安全的,自从有了研究安全的人,就变得不安全了。
- 2020年7月,美国著名电子设备制造商佳明Garmin遭遇勒索软件攻击,许多在线服务受到了影响,全球的Garmin用户无法同步自己的运动和健康数据,最后被迫支付了1000万美金花钱消灾;
- 2021年5月,美国最大输油管道商Colonial Pipeline遭遇勒索软件攻击,暂停运营,最后被迫支付了500万美金了事;
二、DevSecOps
软件的快速发展和应用,不仅带动了时代的发展,还带来了巨大的安全危机,解决这些安全问题变成了软件开发和安全从业者的当务之急。近年来,云和DevOps对于很多企业而言,已变为发展的关键技术引擎,DevOps的目标是快速和持续的交付新功能,最大的特点就是敏捷,相较于传统的瀑布式开发,DevOps更适合当下快节奏的时代。那么,要如何转换思路找到一个不破坏现状的安全测试方式呢?
显然,如果能将安全融到DevOps里,又不影响现有的状态,那当然是最好不过了,如此一来,DevSecOps就诞生了,在研发工程师和安全团队之间,建立起一种持续的灵活的长久的机制和流程,把以前研发流程最后的安全测试工作左移,融到整个研发流程,在功能测试的同时,结合工具自动完成安全测试。这种方式大大降低了应用上线前的安全隐患,也并未影响研发上线的速度,同时也能让非安全团队成员在研发、测试、发布过程中有一定安全意识,而不是常年处于救火状态,甚至回炉重构的惨状。
三、DevSecOps常见安全测试工具
工欲善其事必先利其器,那么要如何将sec融入DevOps呢?目前常见的有以下三种。
SAST:静态应用程序安全测试(Static Application Security Testing),也就是传说的白盒测试,这种方式下应用程序无需运行,而是对程序的源码或者二进制文件的语法、结构、过程、接口等发现程序存在的安全问题。这种安全测试速度快、误报高、覆盖度高、对测试环境无影响。
IAST:交互式应用程序安全测试(Interactive Application Security Testing)也就是传说中的灰盒测试,通过代理、VPN或者在服务端部署Agent程序,收集、监控应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。
DAST:动态应用程序安全测试(Dynamic Application Security Testing),也就是传说的黑盒测试,在程序运行阶段进行分析,模拟黑客攻击,并捕获程序反应,从而确定该应用是否会受到攻击。这种安全测试速度慢、误报低、覆盖度低、对测试环境可能有影响。
四、实际应用
- 软件开发阶段,基于SAST打造,完成代码安全审计等工作;
- 软件测试阶段,基于IAST打造,在功能验证的同时进行安全测试,返回功能测试报告同时输出安全测试报告;
- 软件上线运营阶段,基于DAST打造安全运营系统,对线上业务不定时扫描,从黑客的视角探测软件本身的漏洞;
1205
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
