李相垚-基于devops基础设施的web漏洞扫描实践（16页）.pdf

编号：84000

PDF 16页 1.49MB 下载积分：VIP专享

下载报告请您先登录！

李相垚-基于devops基础设施的web漏洞扫描实践（16页）.pdf

1、云原生安全：基于 DevOps 基础设施的 Web 漏洞扫描实践李相垚2021.05.14李相垚腾讯安全平台部漏洞扫描产品负责人互联网行业处处是“高效”某社交APP更新日志研发模式的升级令产品迭代愈加频繁瀑布模型敏捷模型DevOps 模型速度越来越“快”，安全怎么办新的安全理念诞生 DevSecOps 高度自动化所有角色共同参与人工成本高由安全团队负责上线前漏洞扫描是 DevSecOps 重要一环应用漏洞扫描静态安全测试SAST动态安全测试DAST交互式安全测试IAST漏洞发现时机早修复效率高扫描的范围全面上线前扫描为什么重要？扫描模式参与者耗时优势缺点上线前漏洞扫描实施方式从主动到

2、被动逐条逐条扫描扫描爬虫爬虫浏览器浏览器插件插件被动被动扫描扫描单条提交安全1-3d能用收集成本高爬虫测试/安全1d只需提供入口地址爬虫能力是瓶颈浏览器插件测试/安全0.5h-2h全面+自动只适用于前端部分测试被动扫描测试0.5h-2h实时扫描有一定部署成本被动式扫描在资产覆盖和易用性上优势巨大资产收集：业务测试覆盖度=网站资产覆盖度实施成本：旁路采集，侵入性低研发/测试办公电脑目标网站浏览器插件流量转发模块执行效果：80%+业务使用 nginx 插件接入，60%+漏洞由被动扫描发现被动式扫描不断遭受业务挑战01部署成本偏高02测试环境负载不稳定03测试环境写入脏数据04影响开发人员调试

3、扫描集群被动式扫描不断遭受业务挑战研发/测试办公电脑目标网站核心矛盾：争抢环境，无法调和冲突点测试环境扩容接口加白便捷地停扫入口业务全面“上云”，注重研效提升技术变革业务上云研效提升标准化部署标准化部署容器化技术容器化技术自动化流程自动化流程安全变革的机会云原生被动式扫描方案有效地采集流量矛盾点：流量采集难 Pods（容器内）Services（集群路由）Ingress（外部访问网关）Ingress 使用覆盖度业务应用侵入性https 解密流量核心优势：借助云原生基础设施，节省流量采集开发&维护工作云原生被动式扫描方案 “专属”扫描环境矛盾点：环境争抢TKE-快速扩容-环境复制建立扫描专用环境环境创建时机环境一致性核心优势：借助云原生基础设施，快速获得独立的业务环境关键点云原生被动式扫描方案还能做些什么提升扫描效率探索 IAST合理扩容提升扫描速度独立环境部署监听程序Thank you

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（李相垚-基于devops基础设施的web漏洞扫描实践（16页）.pdf）为本站（小时候）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。