就我个人而言,我喜欢DevSecOps(安全团队将安全贯穿于Dev和Ops所做的一切)。由于我的热情,客户经常问我何时、如何以及在何处注入各种类型的测试和其他安全活动。下面是我为客户提供的用于自动化测试的选项列表(在DevOps中需要完成更多的安全性——它只是自动化测试)。他们一起分析列表并根据他们当前的状态决定什么最有意义,并根据他们当前的关注点选择工具。自动化测试的七个地方1.在IDE中:一个几乎像拼写检查器一样检查代码的工具(不知道这叫什么,有时称为SAST)一个代理管理和依赖工具,只允许您下载安全包API和其他linting解释你在哪里没有遵循定义文件的工具软件组成分析告诉你,也许这些包使用起来并不安全2.预提交挂钩:秘密扫描-让我们在安全事件发生之前阻止它们。3.在代码存储库级别:每周任务表:SCA和SASTLintingIAC扫描4.在管道中:必须快速准确(几乎没有误报)秘密扫描-再做一次!基础架构即代码扫描(IaC),使用HAR文件的DAST,或者只是被动扫描(无模糊测试)SCA(如果需要,最好使用不同于第一个工具的工具)容器和基础扫描,及其依赖项扫描基础架构即代码查找不良策略、配置和缺失的补丁5.管道外:DAST和模糊测试-每周自动运行!VA扫描/基础设施-应每周运行IAST-在QA测试和渗透测试期间安装,如果您有信心,也可以安装在产品中。SAST-在每次主要发布或重大更改后测试所有内容,然后人工审查结果。6.单元测试:接受开发人员的测试并将其转化为负面测试/滥用案例。根据渗透测试结果创建单元测试,以确保我们不会重蹈覆辙。7.持续:漏洞管理。您应该将所有扫描数据上传到某种系统,以寻找模式、趋势和(最重要的)改进。您不需要全部完成,甚至不需要完成其中的一半。本文的目的是向您展示几种可能性,希望您能利用其中的一些。
