Gtest_【安全与压测专场】-《 Devsecops之sec实践与AI思考》360曹微.pdf

1、测无止境 数智共进2024全球软件测试技术峰会北京 12月devsecops之sec实践与AI思考演讲人：曹微2024年12月7日个人形象照片姓名：曹微360 技术中台 测试开发专家从事质量保障工作近15年，主要负责安全卫士、杀毒等客户端产品的测试设计并主导开发智能云系统、专项测试系统、捆包流程系统等多个工具系统01DevSecOps理解-安全问题频出南达科他州的系统崩溃0102科罗拉多州的密码泄漏03AI仿冒拜登的声音打电话安全性：产品或系统保护信息和数据，以便人员或其他产品或系统的数据访问适当的程度，他们的类型和级别的授权程度。安全性子特性包括：保密性、完整性、抗抵赖性、可核查性、真实性D

2、evSecOps理解-ISO对安全性的解释文化流程工具DevSecOps理解-devsecops解释瀑布敏捷devopsSDLdevsecops左移DevSecOps理解-devsecops工具链解决方案理念devsecops工具链DevSecOps理解-工具链中工具现状*静态应用安全测试(Static Application Security Testing，SAST)是一种在编码阶段对源代码进行安全扫描发现安全漏洞的测试技术。动态应用安全测试(Dynamic Application Security Testing，DAST)是一种在应用运行时模拟恶意攻击者发起自动攻击，并根据应用的具体反

3、应确定该应用是否存在漏洞的技术。交互式应用程序安全测试（Interactive Application Security Testing），IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术，在测试的同时可以无感知完成。商用：Fortify、Checkmarx开源：Raptor、RIPS商用：AppScan、AWVS开源：Owasp ZAP、Xray商用：悬镜灵脉、Contrast Security开源：HXSecurity 的 DongTai、百度OpenRASPWEB02Sec实践-PC客户端的sec现状SEC人工安审，阻塞发布缺少自动化方案Sec实践-PC客户端的se

4、c改进【V1.0】SECSECSECSECSECSec实践-PC客户端的sec建设的系统架构Sec实践-PC客户端在sec建设中遇到的难点全自动化工具少没有现成可用的动态AST自动化工具，通用性的工具误报率高。隔离于CICD流程功能测试完成后才进入安全审核，影响发布时间；一些小版本迭代容易忽略安全审核。需要选择合适的项目和工具集成的程度、审核的周期和结果的优劣也要平衡偏通用性缺少业务安全静、动态检查，偏通用性，对于业务的全面性覆盖不足；Sec实践-难点解决方案分优先级，逐步集成保证基础安全，扩展高阶安全全自动化工具少增加业务视角，丰富安全规则业务安全不全拆分专项集成到CI、CD的适合的节点隔离

5、于CICD流程传统方法为底座探索新的测试方法合适的项目和工具的选择效率流程效率效果信息泄露数据存储安全检查日志、代码、二进制、配置文件、中间敏感文件、注册表、数据库、调试日志，是否明文储存敏感数据debugview数据传输安全性密码、SQL语句暴露，明文传输（登录、认证、数据库等）非必要的数据传输wireshark反调试程序反调试或叫反逆向分析IDA内存检查内存中是否存在明文敏感数据winHEX物理设备检查键盘防监听、U口、防截屏XT仿冒文件劫持DLL劫持、白利用、program劫持Process Hacker远程劫持远程线程劫持、远程代码执行注入工具消息HOOKSetWindowsHookE

6、xXTAPIHOOKLoadLibrary/LoadLibraryA/LoadLibraryWAPI MonitorSQL注入数据库签名检查签名有效性、签名校验signtoolPE检查导入表、Depends、manifestdepends、PEview拒绝服务溢出测试内存溢出、程序崩溃appverifier编译选项检查ASLR、DEPbinscope权限提升弱口令检查Admin,123等文件、注册表、进程权限检查本身的权限检查、调用链的权限检查、不同用户调用的权限合理性检查权限控制UAC绕过Sec实践-流程-客户端