进行自动化安全测试的七个地方

运维 自动化
在 DevOps 环境中工作时,安全专业人员有时会对 Dev 和 Ops 团队的移动速度感到不知所措。我们习惯于拥有更多的控制权、更多的时间,以及更多……时间!

就个人而言,我喜欢 DevSecOps(安全团队在 Dev 和 Ops 正在执行的整个过程中编织安全性)。由于我的热情,客户经常询问我何时、如何以及在何处注入各种类型的测试和其他安全活动。下面是我为客户提供的用于自动化测试的选项列表(在 DevOps 中有更多的安全工作要做——这只是自动化测试)。他们一起分析列表并根据他们当前的状态决定哪些地方最有意义,并根据他们当前的关注点选择工具。

自动化测试的七个地方

1.在集成开发环境中:

  • 几乎像拼写检查器一样检查代码的工具(不确定这叫什么,有时称为 SAST)
  • 代理管理和依赖工具,只允许您下载安全包
  • API 和其他 linting 工具,解释您在哪里没有遵循定义文件
  • 软件组合分析告诉你,也许这些软件包不是那么安全使用

2.预提交挂钩:

Secret scanning——让我们在安全事件发生之前将其阻止。

3.在代码存储库级别:

  • 每周任务表:SCA 和 SAST
  • Linting
  • IAC扫描

4.在管道中:必须快速准确(几乎没有误报)

  • Secret scanning - 再来一次!
  • 基础架构即代码扫描 (IaC)
  • 带有来自 Selenium 的 HAR 文件的 DAST,或者只是被动扫描(无模糊测试)
  • SCA(如果你愿意,最好使用与第一次不同的工具)
  • 容器和基础扫描,以及它们的依赖关系
  • 将基础架构扫描为代码以查找不良策略、配置和缺失的补丁

5.管道外:

  • DAST 和模糊测试——每周自动运行!
  • VA 扫描/基础设施——应每周进行一次
  • IAST — 在 QA 测试和渗透测试期间安装,如果您有信心,也可以在产品中安装。
  • SAST——测试每个主要版本或每次大更改后的所有内容,然后对结果进行人工审查。

6.单元测试:

  • 进行开发人员的测试并将其转化为负面测试/滥用案例。
  • 根据渗透测试结果创建单元测试,以确保我们不会重蹈覆辙。

7.持续:

漏洞管理。您应该将所有扫描数据上传到某种系统中,以寻找模式、趋势和(最重要的)改进。

您不需要做所有这些,甚至不需要做其中的一半。本文的目的是向您展示几种可能性,希望您能利用其中的一些。

责任编辑:华轩 来源: 今日头条
相关推荐

2022-06-10 07:25:41

测试自动化趋势

2018-01-30 13:45:50

Kubernetes容器自动化管理

2009-08-19 09:00:48

单元测试框架自动化测试

2022-02-17 10:37:16

自动化开发团队预测

2022-05-13 09:16:49

Python代码

2019-07-10 11:35:46

防火墙技术云计算

2022-03-11 13:13:15

LinuxWindows

2017-12-22 05:18:06

2020-07-24 09:52:55

自动化ITCIO

2017-05-03 08:54:15

2012-02-27 17:34:12

Facebook自动化

2023-11-21 22:48:50

2023-11-03 18:01:59

Docker开源平台

2011-05-16 15:36:00

软件测试

2022-01-14 11:51:00

测试工具自动化

2014-03-12 15:23:20

2021-05-06 10:26:49

网络安全网络攻击黑客

2022-08-02 20:22:01

SaaS安全网络攻击

2017-04-22 11:26:01

2023-03-27 15:37:43

自动化测试开发
点赞
收藏

51CTO技术栈公众号