105秦伟强-甲方安全建设之有效落地安全测试的探索实践（14页）.pdf

《105秦伟强-甲方安全建设之有效落地安全测试的探索实践（14页）.pdf》由会员分享，可在线阅读，更多相关《105秦伟强-甲方安全建设之有效落地安全测试的探索实践（14页）.pdf（14页珍藏版）》请在三个皮匠报告上搜索。

1、秦伟强/应用安全负责人/平安银行曾从事攻防对抗工作，现主要从事应用安全相关工作，对甲方应用安全建设有着一定的探索实践经验。演讲主题：甲方安全建设之有效落地安全测试的探索实践甲方安全建设之有效落地安全测试的探索实践甲方安全建设之有效落地安全测试的探索实践秦伟强秦伟强整体框架介绍规范、流程、工具主流程培训需求设计开发测试发布响应流程规范新员工安全合规培训安全评审指引安全设计指引安全编码规范安全测试规范应急预案安全活动主机容器安全基线应用发布安全规范需求安全评审安全设计代码审计渗透测试安全基线验证上线前安全检查值班监控新员工安全培训员工定期复盘培训安全工具安全培训平台安全考试平台半自动化安全评审半自

2、动化安全设计白盒扫描fortify/sonar第三方组件管控安全编码助手安全组件黑盒扫描明鉴流量灰盒hydra插桩灰盒pabiast移动安全doppler应用安全质量门禁主机容器基线检查天眼WAFHIDS目的意义提升安全意识确保所有相关方熟悉流程，职责明确针对待开发需求进行评审，充分分析潜在安全风险，提供安全解决方案对需求的IT方案进行充分的安全分析，以及对安全需求进行相应的安全设计，形成应用安全需求建设多个安全工具，与研发工具形成系统对接，在开发阶段通过从源码层面形成自动化检查手段，解决部分安全漏洞使用多种安全工具互补，在应用运行状态实现自动化检查，再次解决部分安全漏洞，并且通过上线前人工渗

3、透测试重点解决逻辑类安全漏洞对容器以及以及应用的安全状态进行自动化检查，对不符合安全要求的容器及应用自动卡点，确保发布的应用符合安全要求对上线的应用通过多套应用及手段，进行不同维度实现纵深防御监控，确保在有攻击行为时能够快速响应安全平台安全运营平台，S-SDLC平台，移动安全平台，大数据安全平台（与研发流程工具对接，整合应用安全各环节数据进行指标监控，以及完成各环节系统层面的安全卡点监控）思考几个问题思考几个问题安全不只是业务的底线，更是业务的上限代码扫描的结果都正确处理了吗？010103030202安全评审充分吗？安全测试质量足够高吗？安全测试的意义安全测试的意义驱动安全工作第一个抓手抓手抓

4、手门禁门禁保障保障系统上线前最后一道安全门禁系统上线后最后的安全保障 问题分析问题分析理想状态实际情况系统上线都经过安全测试安全测试OR第三方安全服务很全面安全测试人力很充足经常未经过安全测试上线测试用例or测试覆盖率不高一个人的安全部还会遇到什么问题要发紧急版本，安全测试卡住了怎么？安全测试任务比较多，安全测试卡进度了怎么办？卡点问题卡点问题研发团队测试管理系统资产系统S_SDLC系统发布系统版本经理提交SIT测试获取是否需要安全测试的标签同步测试信息到安全团队封版打包检查安全测试状态卡点问题卡点问题问题分析问题分析理想状态实际情况系统上线都经过安全测试安全测试or第三方安全服务很全面安全测

5、试人力很充足经常未经过安全测试即上线测试用例or测试覆盖率不高一个人的安全部测试覆盖率(test coverage)是衡量软件测试完整性的一个重要指标。掌握测试覆盖率数据，有利于客观认识软件质量，正确了解测试状态，有效改进测试工作。覆盖率上去了不代表质量就好，但是覆盖率上不去，质量大概率没有覆盖率高的好。覆盖率作为安全质量目标没有任何意义，但是可以作为一个手段去提升应用安全质量。指标名称计算方式统计方式代码覆盖率被执行的代码数量与代码总数量之间的比值JacocoGoCovCoverage.py需求覆盖率测试所覆盖的需求数量与总需求数量的比值人工缺陷覆盖率测试所实际发现的缺陷数量与测试所应该发现的缺陷总量的比值人工测试覆盖率测试覆盖率测试覆盖率测试覆盖率安全测试人员S-SDLC平台（接口汇总）插桩注解代码注解SIT测试流量接口文档代理服务器获取接口信息同步流量提示未测试接口完成测试测试代理流量对比测试覆盖率测试覆盖率问题分析问题分析理想状态实际情况系统上线都经过安全测试安全测试or第三方安全服务很全面安全测试人力很充足经常未经过安全测试即上线测试用例or测试覆盖率不高一个人的安全部