书签 分享 收藏 举报 版权申诉 / 19

类型2020BCS-北京网络安全大会:新一代灰盒安全测试技术实践分享.pdf

  • 上传人:li
  • 文档编号:29427
  • 上传时间:2021-02-07
  • 格式:PDF
  • 页数:19
  • 大小:4.32MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    2020 BCS北京网络安全大会 2020北京网络安全大会 北京网络安全大会 新一代灰盒安全测试技术实践分享 :新一代灰盒安全测试技术实践分享 BCS2020 2020安全
    资源描述:

    《2020BCS-北京网络安全大会:新一代灰盒安全测试技术实践分享.pdf》由会员分享,可在线阅读,更多相关《2020BCS-北京网络安全大会:新一代灰盒安全测试技术实践分享.pdf(19页珍藏版)》请在三个皮匠报告文库上搜索。

    1、新一代灰盒安全测试技术实践分享 子芽悬镜 软件工程安全的两个共识 系统一定有未被发现 的安全漏洞 程序员每写10001000行代码,就会出现1个逻辑性缺 陷。每个逻辑性的缺陷,或者若干个逻辑性缺 陷,最终导致一个漏洞;“缺陷是天生的,漏洞 是必然的”。 78%78%- -90%90%的现代应用融入了开源组件,平均每个应 用包含147个开源组件,且67%67%的应用采用了带有 已知漏洞的开源组件,软件供应链安全威胁迫在 眉睫。 现代应用都是组装的 而非纯自研 现代应用安全的风险面 开源组件缺陷 第三方开源组件 现代应用 组成成分 自研 代码 WebWeb通用漏洞 SQL注入、命令执行、XXE、X

    2、SS等OWASPTOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量 注册、验证码绕过等 CNNVD、CNVD、CVE等 针对现代应用全面风险审查应考虑从第三方开源组件、自研代码通用漏洞、自研代码业务逻辑漏洞等维度综合审计。 现代应用开发模式的技术演进 瀑布模型敏捷模型DevSecOps 瀑布式开发 敏捷开发 DevOps 传统SDL面临的安全挑战 l业务先上线,安全问题后补救 l安全责任过于依赖有限安全团队资源 l安全较缓慢,常置于流程之外,当版本 更新快时,传统安全手段影响业务交付 l责任:安全是每个人的责任 l嵌入流程:开发运维 l柔和嵌入研发运维流程,自动化 l自动化流程,人更趋向

    3、于运营反馈处理 l适用于周期较短,迭代较快的业务 设计开发测试部署 DevSecOps新新特特性性 DevSecOps CI/CD黄金管道 CI/CD黄金管道: AST应用安全测试 1 SCA第三方组件成分分析 2 RASP运行时应用自保护 3 红蓝对抗和SRC 4 关键工具链技术: RSAC2018正式提出“Golden Pipeline”软件流水线实践体系,强调 CI/CD 自动化工具链支撑 AST技术优劣对比 DASTSASTIAST 误报率低高极低 检出率中高高 检测速度随URL、payload数量随代码量依赖点击流量实时检测 第三方组件漏洞依赖payload、指纹静态扫描支持运行时支持 语言支持不区分语言区分不同语言区分不同的语言 框架支持不区分框架一定程度区分一定程度区分 漏洞验证利用可验证利用很难验证利用可验证利用 使用风险脏数据、大流量无无 使用成本较低高,人工排查误报低,

    展开阅读全文
    提示  三个皮匠报告文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:2020BCS-北京网络安全大会:新一代灰盒安全测试技术实践分享.pdf
    链接地址:https://www.sgpjbg.com/baogao/29427.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 联系我们 - 行业研究网

    copyright@ 2008-2013        长沙景略智创信息技术有限公司版权所有
    网站备案/许可证号:湘ICP备17000430号-2