原文请参见:https://stackify.com/devsecops-automate-security-testing/
每家公司都希望看到他们的公司得到媒体和传媒的关注。除非是因为黑客和安全漏洞的原因。每隔几周你就会看到那些被黑客入侵的公司的媒体报道。每隔几个月就得到一张新的信用卡, 因为数据被黑客攻击, 这对我们大多数人来说都是例行公事。我们的世界越是围绕互联网和技术发展, 网络安全就会变得越来越重要。
软件应用程序很复杂, 可能有许多不同类型的安全问题。问题范围从错误的代码到配置不正确的服务器以及介于两者之间的所有内容。解决这个问题需要每个人都在考虑他们正在做的事情的安全含义。DevSecOps 是一个新的运动, 只是这样做。其目标是让开发人员在构建应用程序时更多地考虑安全原则和标准。
Integrating DevOps + Security = DevSecOps
DevOps 的目标是让开发团队在部署和监视其应用程序时拥有更多的所有权。自动化如何提供服务器和部署我们的应用程序是 DevOps 的核心。自动化帮助我们更快地移动和发布更高品质的产品。
将安全性添加到相同的自动化是 DevSecOps 的目标。公司希望在不减慢开发过程的情况下创建强大的安全策略和标准。安全必须是过程的一部分, 并且不会让我们慢下来。
像 DevOps 和 DevSecOps 持续改变软件开发生命周期的意义。这幅图很好地形象化了。
自动化安全测试的工具
DevSecOps 的目标之一是在开发过程中构建安全测试。有新的工具可用于帮助实现整个开发生命周期并使其自动化。下面是一些存在的工具类型:
- 云基础架构最佳实践 -- 如 Microsoft Azure 顾问和第三方工具等云中内置的工具. io 可以帮助扫描您的配置, 以保证安全最佳做法。
- 自动化安全测试 - 您现在可以像进行单元测试或集成测试一样创建和运行自动安全测试。Gauntlt 是一个受欢迎的免费框架, 用于自动化这些类型的测试。
- 代码分析 - 像 Veracode 这样的工具可以扫描您的代码, 以便在您自己的代码和开源库中找到潜在的漏洞。
- 运行时应用程序安全性 -- 类似安全的工具在生产中运行, 可以帮助实时识别和预防安全问题。 希望这将为您提供一些关于安全测试和自动化的概念, 这些类型可以在您的开发过程中构建。请查看 GitHub 的列表, 它提供了大量的工具和资源列表。
安全单元测试
应用程序安全性是我们开始编写代码时就需要考虑的问题。正如我们编写和运行单元测试一样, 运行一些自动安全测试有助于确保没有引入新的漏洞。Gauntlt 提供了一些整洁的功能。
例如, 作为部署过程的一部分, 您可能要提供新的服务器或部署一些 Docker 容器。然后, 您可以自动运行一些不同的基本安全测试。
- 扫描服务器上打开的端口
- 测试以查看您的服务器是否响应 ping
- 执行 HTTP 请求并验证响应中的 cookie
- 测试各种 HTTP 谓词。它应该支持 DELETE、PATCH 等吗?
结论
软件和自动化继续改变我们的世界。软件开发生命周期中的自动化帮助我们更快、更高质量地运送代码。在该自动化中添加安全测试也将帮助我们创建更安全的应用程序。DevSecOps 仍然是一个新的东西, 并正在迅速发展。希望这篇文章能给你一些建议, 你可以在将来使用它来提高你的应用程序的安全性。
推荐资源:
