2020BCS-北京网络安全大会：新一代灰盒安全测试技术实践分享.pdf

编号：29427

PDF 19页 4.32MB 下载积分：VIP专享

下载报告请您先登录！

2020BCS-北京网络安全大会：新一代灰盒安全测试技术实践分享.pdf

1、新一代灰盒安全测试技术实践分享子芽悬镜软件工程安全的两个共识系统一定有未被发现的安全漏洞程序员每写10001000行代码，就会出现1个逻辑性缺陷。每个逻辑性的缺陷，或者若干个逻辑性缺陷，最终导致一个漏洞；“缺陷是天生的，漏洞是必然的”。 78%78%- -90%90%的现代应用融入了开源组件，平均每个应用包含147个开源组件，且67%67%的应用采用了带有已知漏洞的开源组件，软件供应链安全威胁迫在眉睫。现代应用都是组装的而非纯自研现代应用安全的风险面开源组件缺陷第三方开源组件现代应用组成成分自研代码 WebWeb通用漏洞 SQL注入、命令执行、XXE、X

2、SS等OWASPTOP10 业务逻辑漏洞水平/垂直越权、短信轰炸、批量注册、验证码绕过等 CNNVD、CNVD、CVE等针对现代应用全面风险审查应考虑从第三方开源组件、自研代码通用漏洞、自研代码业务逻辑漏洞等维度综合审计。现代应用开发模式的技术演进瀑布模型敏捷模型DevSecOps 瀑布式开发敏捷开发 DevOps 传统SDL面临的安全挑战 l业务先上线，安全问题后补救 l安全责任过于依赖有限安全团队资源 l安全较缓慢，常置于流程之外，当版本更新快时，传统安全手段影响业务交付 l责任：安全是每个人的责任 l嵌入流程：开发运维 l柔和嵌入研发运维流程，自动化 l自动化流程，人更趋向

3、于运营反馈处理 l适用于周期较短，迭代较快的业务设计开发测试部署 DevSecOps新新特特性性 DevSecOps CI/CD黄金管道 CI/CD黄金管道： AST应用安全测试 1 SCA第三方组件成分分析 2 RASP运行时应用自保护 3 红蓝对抗和SRC 4 关键工具链技术： RSAC2018正式提出“Golden Pipeline”软件流水线实践体系，强调 CI/CD 自动化工具链支撑 AST技术优劣对比 DASTSASTIAST 误报率低高极低检出率中高高检测速度随URL、payload数量随代码量依赖点击流量实时检测第三方组件漏洞依赖payload、指纹静态扫描支持运行时支持语言支持不区分语言区分不同语言区分不同的语言框架支持不区分框架一定程度区分一定程度区分漏洞验证利用可验证利用很难验证利用可验证利用使用风险脏数据、大流量无无使用成本较低高，人工排查误报低，

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（2020BCS-北京网络安全大会：新一代灰盒安全测试技术实践分享.pdf）为本站（X-iao）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。