1、新一代灰盒安全测试技术实践分享 子芽悬镜 软件工程安全的两个共识 系统一定有未被发现 的安全漏洞 程序员每写10001000行代码,就会出现1个逻辑性缺 陷。每个逻辑性的缺陷,或者若干个逻辑性缺 陷,最终导致一个漏洞;“缺陷是天生的,漏洞 是必然的”。 78%78%- -90%90%的现代应用融入了开源组件,平均每个应 用包含147个开源组件,且67%67%的应用采用了带有 已知漏洞的开源组件,软件供应链安全威胁迫在 眉睫。 现代应用都是组装的 而非纯自研 现代应用安全的风险面 开源组件缺陷 第三方开源组件 现代应用 组成成分 自研 代码 WebWeb通用漏洞 SQL注入、命令执行、XXE、X
2、SS等OWASPTOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量 注册、验证码绕过等 CNNVD、CNVD、CVE等 针对现代应用全面风险审查应考虑从第三方开源组件、自研代码通用漏洞、自研代码业务逻辑漏洞等维度综合审计。 现代应用开发模式的技术演进 瀑布模型敏捷模型DevSecOps 瀑布式开发 敏捷开发 DevOps 传统SDL面临的安全挑战 l业务先上线,安全问题后补救 l安全责任过于依赖有限安全团队资源 l安全较缓慢,常置于流程之外,当版本 更新快时,传统安全手段影响业务交付 l责任:安全是每个人的责任 l嵌入流程:开发运维 l柔和嵌入研发运维流程,自动化 l自动化流程,人更趋向
3、于运营反馈处理 l适用于周期较短,迭代较快的业务 设计开发测试部署 DevSecOps新新特特性性 DevSecOps CI/CD黄金管道 CI/CD黄金管道: AST应用安全测试 1 SCA第三方组件成分分析 2 RASP运行时应用自保护 3 红蓝对抗和SRC 4 关键工具链技术: RSAC2018正式提出“Golden Pipeline”软件流水线实践体系,强调 CI/CD 自动化工具链支撑 AST技术优劣对比 DASTSASTIAST 误报率低高极低 检出率中高高 检测速度随URL、payload数量随代码量依赖点击流量实时检测 第三方组件漏洞依赖payload、指纹静态扫描支持运行时支持 语言支持不区分语言区分不同语言区分不同的语言 框架支持不区分框架一定程度区分一定程度区分 漏洞验证利用可验证利用很难验证利用可验证利用 使用风险脏数据、大流量无无 使用成本较低高,人工排查误报低,
1、下载报告失败解决办法 2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。 3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。 4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
2020BCS-北京网络安全大会:NG-DLP 新一代数据泄露防护.pdf
2020BCS-北京网络安全大会:信创云安全建设实践.pdf
2020BCS-北京网络安全大会:海量日志采集、解析实践.pdf
2020BCS-北京网络安全大会:“新基建”加速安全技术创新.pdf
2020BCS-北京网络安全大会:从理论模型到实践落地.pdf
2020BCS-北京网络安全大会:多维安全漏洞治理.pdf
2020BCS-北京网络安全大会:PKS体系架构.pdf
2020BCS-北京网络安全大会:DevSecOps标准解读.pdf
2020BCS-北京网络安全大会:未来核心技术与网络空间安全.pdf
2020BCS-北京网络安全大会:基于威胁情报的云安全检测技术.pdf
三个皮匠报告专业的行业报告下载站,每日更新,欢迎大家关注!
copyright@2008-2013 长沙景略智创信息技术有限公司版权所有 网站备案/许可证号:湘B2-20190120
专属顾问
机构入驻、侵权投诉、商务合作
三个皮匠报告官方公众号
验证即登录,未注册将自动创建三个皮匠报告账号
使用 微信 扫一扫登陆