就個(gè)人而言，我喜歡 DevSecOps(安全團(tuán)隊(duì)在 Dev 和 Ops 正在執(zhí)行的整個(gè)過程中編織安全性)。由于我的熱情，客戶經(jīng)常詢問我何時(shí)、如何以及在何處注入各種類型的測(cè)試和其他安全活動(dòng)。下面是我為客戶提供的用于自動(dòng)化測(cè)試的選項(xiàng)列表(在 DevOps 中有更多的安全工作要做——這只是自動(dòng)化測(cè)試)。他們一起分析列表并根據(jù)他們當(dāng)前的狀態(tài)決定哪些地方最有意義，并根據(jù)他們當(dāng)前的關(guān)注點(diǎn)選擇工具。

自動(dòng)化測(cè)試的七個(gè)地方

1.在集成開發(fā)環(huán)境中：

• 幾乎像拼寫檢查器一樣檢查代碼的工具(不確定這叫什么，有時(shí)稱為 SAST)
• 代理管理和依賴工具，只允許您下載安全包
• API 和其他 linting 工具，解釋您在哪里沒有遵循定義文件
• 軟件組合分析告訴你，也許這些軟件包不是那么安全使用

2.預(yù)提交掛鉤：

Secret scanning——讓我們?cè)诎踩录l(fā)生之前將其阻止。

3.在代碼存儲(chǔ)庫(kù)級(jí)別：

• 每周任務(wù)表：SCA 和 SAST
• Linting
• IAC掃描

4.在管道中：必須快速準(zhǔn)確(幾乎沒有誤報(bào))

• Secret scanning - 再來一次!
• 基礎(chǔ)架構(gòu)即代碼掃描 (IaC)
• 帶有來自 Selenium 的 HAR 文件的 DAST，或者只是被動(dòng)掃描(無模糊測(cè)試)
• SCA(如果你愿意，最好使用與第一次不同的工具)
• 容器和基礎(chǔ)掃描，以及它們的依賴關(guān)系
• 將基礎(chǔ)架構(gòu)掃描為代碼以查找不良策略、配置和缺失的補(bǔ)丁

5.管道外：

• DAST 和模糊測(cè)試——每周自動(dòng)運(yùn)行!
• VA 掃描/基礎(chǔ)設(shè)施——應(yīng)每周進(jìn)行一次
• IAST — 在 QA 測(cè)試和滲透測(cè)試期間安裝，如果您有信心，也可以在產(chǎn)品中安裝。
• SAST——測(cè)試每個(gè)主要版本或每次大更改后的所有內(nèi)容，然后對(duì)結(jié)果進(jìn)行人工審查。

6.單元測(cè)試：

• 進(jìn)行開發(fā)人員的測(cè)試并將其轉(zhuǎn)化為負(fù)面測(cè)試/濫用案例。
• 根據(jù)滲透測(cè)試結(jié)果創(chuàng)建單元測(cè)試，以確保我們不會(huì)重蹈覆轍。

7.持續(xù)：

漏洞管理。您應(yīng)該將所有掃描數(shù)據(jù)上傳到某種系統(tǒng)中，以尋找模式、趨勢(shì)和(最重要的)改進(jìn)。

您不需要做所有這些，甚至不需要做其中的一半。本文的目的是向您展示幾種可能性，希望您能利用其中的一些。