web应用安全不是到最后才进行的。在前期方案设计阶段就需要介入,贯穿软件系统的整个生命周期。在测试阶段进行的安全检测包括sql注入、跨站脚本、越权访问、敏感数据是否加密等,内容相当多。可使用自动化漏洞扫描工具结合人工的方式。信息安全等级较高的企业有自己的信息安全团队,比如银行。信息安全等级一般的企业为了节约成本,采用外包或众包的方式。启明星辰、360、乌云、漏洞盒子这些可以看看。
上线后发现漏洞后再去修复的成本要比开发环节中就发现漏洞的修复成本要高很多。比如,上线后发现漏洞修复成本可能需要3万甚至更多,开发环节就发现并修复漏洞,成本可能也就几百块。但很多公司,特别是业务部门觉得安全的引入是绊脚石,影响项目的正常上线,但上线后发现业务逻辑漏洞对公司带来影响时,这个时候安全又是铲屎官的角色,导致安全人员处于非常尴尬的地步。如何解决这样的问题呢?
2017年美国RSA大会提出DevSecOps, “DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。
DevSecOps核心要求是:透明和自动化。DevSecOps的出现是为了改变和优化之前安全工作的一些现状,比如安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题;通过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全属性嵌入到整条流水线。
悬镜安全实验室自主研发了一款针对安全开发环节的“灵脉自动化渗透测试系统”,将安全前置开发环节,赋能研发,让安全小白,普通测试人员也会使用进行安全测试。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024