敏捷开发中的安全实践_第1页
敏捷开发中的安全实践_第2页
敏捷开发中的安全实践_第3页
敏捷开发中的安全实践_第4页
敏捷开发中的安全实践_第5页
已阅读5页,还剩12页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、敏捷开发中的安全实践技术创新,变革未来安全重要么?被篡改网站10月2日10月9日10月16日10月23日10月30日11月6日310419911020282113423598数据来源:CNCERT互联网安全威胁周报网络安全的现实OWASP TOP10A1 SQL注入A2 失效的身份认证和会话管理A3 跨站脚本(XSS)A4 不安全的直接对象引用A5 安全配置错误A6 敏感信息泄露A7 功能级访间控制缺失A8 跨站请求伪造(CSRF)A9 使用含有已知涸洞的组件A10 未验证的重定向和转发安全开发所面临的困难交付发布$80/涸洞$240/涸洞$960/涸洞开发的不同阶段涸洞的成本编写代码集成构建

2、QA$7600/涸洞数据来源:checkmarx安全开发所面临的困难对千安全没有认知不知道如何将安全和开发结合起来不知道如何编写安全需求,如何做安全测试项目紧急,时间不够安全是安全专家的职责,不是程序员负责的如何兼顾敏捷开发同时还保证安全?1,统团队认知,明确职责团队需要安全专家,但安全由团队起负责安全相关的用户故事需要针对性编写安全专家对代码进行安全评审安全专家组织安全代码开发培训安全专家帮助QA进行安全测试如何兼顾敏捷开发同时还保证安全?2,元=L程遵循编码规范(PHP-PSR,PEP8,OWASP)使用框架开发,使用开源组件在敏捷开发中使用安全工具使用持续集成系统如何兼顾敏捷开发同时还保

3、证安全?2,元=L程 SAST工具:Fortify,ZAP,Dependency-CheckRIPS,Burp Suite,BrakemanDAST工具:AppScan,WebInspect,Arachni SQLmap如何兼顾敏捷开发同时还保证安全?3,结合敏捷开发L程的安全故事分析故事启动故事开发故事验收故事测试故事演示编写安全验收标准,安全专家,客户,QA确定安全验收标准,安全专家,开发,QA编写安全代码,开发,QA按安全标准验收,安全专家,开发,QA进行安全测试,安全专家,QA展示上线产品,团队,客户如何兼顾敏捷开发同时还保证安全?3,结合敏捷开发L程的安全代码开发代码管理 自动构建版

4、本控制QA自动化Bug修复SASTDASTAVM代码上线WAF,RASP如何兼顾敏捷开发同时还保证安全?4,敏捷和开发的平衡根据规范编写安全代码安全测试手工发现工具自动化批量结合CI/CD自动化如何提高人的安全意识?对千安全意识的提高,举个例子SSRF( Server-side Request Forgery )危害:URL为内网IP,直接访间内网资源URL中包含端口,可用千扫描如何提高人的安全意识?如何检查IP是否为内网IP/16/8/12/81. 利用八进制IP地址绕过2. 利用十六进制IP地址绕过3. 利用十进制的IP地址绕过4. 利用IP地址的省略写法绕过如何提高人的安全意识?HOST获取绕过如何正确的匹配出URL中Host?只要不是内网IP地址就可以吗?只要Host指向的IP不

人人文库> 全部分类> 专业文献 > IT计算机

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论