精简版SDL落地实践 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

精简版SDL落地实践

申博_安全工具 申博 102次浏览 未收录 0个评论

Author:@好好学习英语的abc

一、媒介

平常平安都属于运维部下面,和上家公司的运维总监聊过频频一些一样平常平安事情能不能融入到DevOps中,没多久因为种种缘由去职。18年入职5月一家第三方付出公司,前半年在种种搜检中渡过,羁系形势严峻加上大指导对平安的注重(重要照样羁系),一切部门19年的目的都和平安挂钩。因为付出公司需要面临种种羁系机构的搜检,部份平安做的比较完善,经由近一年对公司的熟习发明运用平安方面比较柔弱。这部份业内比较好的解决计划就是SDL,和各厂商交换过以后决议本身照葫芦画瓢在公司一点一点推行。

上图为标准版的SDL,因为运维采纳DevOps体系,测试也运用自动化举行功用测试,版本迭代周期比较快,平安人手不足加上对SDL的要挟建模等要领也一头雾水、如果把平安在到场全部流程会严峻影响托付时刻。在这类状况调研了一些业内的一些做法,决议把SDL精简化 。精简版SDL以下:.

二、精简版SDL落地实践

平安培训

SDL中间之一就是平安培训,所以在平安培训上我们做了平安编码、平安意识、平安学问库、平安SDK

平安编码:

我们在网上找了一些java平安编码范例、产物平安设想及开辟平安范例连系公司现实营业出了一版。

因为种种羁系机构对培训都有请求,借此推了一下平安培训,按期对开辟和新员工入职的培训。

平安意识:

公司有企业微信民众号,大部份员工都关注了,在民众号推行了一波。

宣扬完以后答题,答题满分送小礼物
因为人手不足,而功用测试和平安测试实质上有许多相通的处所,测试部门也比较合营,针对测试职员做了一些平安测试相干的培训,然则效果并非太抱负。

平安学问库:

在破绽修复过程当中,开辟许多不太相识破绽道理、修复计划,所以我们建立了平安学问库,开辟先到平安学问库查相干解决要领。找不到的再和平安职员沟通,平安职员对学问库不断更新,构成一个闭环。

平安SDK

因为公司有架构部门,开辟框架基础是架构部门供应。我们将一些罕见的破绽和架构部门沟通以后,让架构将一些破绽修复体式格局用SDK完成,开辟只需要导入JAR包,在设置文件中设置即可。个中也挺多坑的,需要逐步优化。

三、 平安需求设想

公司有项目立项体系,一切的项目立项都需要经由过程体系来举行立项,平安为必选项,评审会平安也必需要参与

这个时刻基础上项目经理会找平安职员举行沟通,copy了一份VIP的产物平安设想范例,依据需求文档和项目经理肯定平安需求。
确认好平安需求以后将按需求到场到需求文档,并确认平安测试时刻,此流程只针对新项目,已上线的项目的需求并未按照此流程,后续在平安测试时刻会讲到这部份的项目是怎样做的。

四、开辟、平安测试

平安测试重要分为代码审计,破绽扫描,手工平安测试。由此衍生出来的平安产物分为3类。DAST:动态运用程序平安测试 (wvs,appscan)、SAST:静态运用程序平安测试 (fortify,rips)、IAST:交互式运用程序平安测试 (seeker,雳鉴),这三种产物的细致引见能够参考https://www.aqniu.com/learn/46910.html,下图为三种产物的测试效果对照。
这几类产物完成了自动化能够继续到DevOps中。接下来我们将这些东西融入到开辟测试阶段。
IAST的完成形式较多,罕见的有代办形式、VPN、流量镜像、插桩形式,本文引见最具代表性的2种形式,代办形式和插桩形式。一些调研过的产物以下图,详细测试效果就不宣布了。

开辟阶段

在对几类产物调研的时刻发明IAST的插桩形式能够直接放到开辟环境,开辟环境和测试环境的代码辨别重要照样在于application.yml设置文件,所以能够提早将该形式放到开辟阶段。
开辟写完代码提交到gitlab布置到开辟环境启动运用的时刻,开辟需要考证一下功用是不是可用,这个时刻就能够检测出是不是存在破绽。
公司在测试环境运用rancher,把IAST的jar包放入到项目的gitlab,在布置的时刻把代码拉到当地,经由过程修正Dockerfile文件把jar包添加到容器。

FastJson最新反序列化漏洞分析

漏洞危害:严重 FastJson最新爆出的绕过方法可以通杀1.2.48版本以下所有,有传言在autotype开启的情况下可以打到1.2.57。 ## 解决方案: FastJson升级到最新1.2.58版本; 采用默认的关闭autotype ## 漏洞详情: fastjson是alibaba开源的一款高性能功能完善的JSON库,在2017年4月18日的时候官方自己爆出了一个安全漏洞,https://github.com/alibaba/fastjson/wiki/security_update_20170315,影响范围 1.2.24以及之前版本。随着逐步修复,1.2.42-45之间都出现过绕过。而最近爆出的更是通杀默认配置1.2.48版本以下。下边是漏洞分

ADD shell/xxx.jar /home/app/xx/lib

因为公司项目基础一致运用spring-boot,一切的项目都经由过程一个start.sh脚原本启动运用,start.sh和Dockerfile一样需要添加到项目的gitlab,同时修正start.sh剧本文件即可。

-javaagent:$APP_HOME/lib/xx.jar  -jar $APP_HOME/app/*.jar --spring.profiles.active=dev >$APP_HOME/logs/startup.log 2>&1 &

测试项目以下,疏忽错别字:

开辟提交代码布置完以后,接见一下一般的功用即可在平台上瞥见是不是存在破绽。
部份产物同时还会检测第三方组件包。
公司运用harbor来对镜像举行当堆栈镜像,项目布置完成以后会打包成一个镜像上传到harbor,harbor自带镜像扫描功用。

 

测试阶段

开辟完成以后进入到测试阶段。这个阶段我们举行静态代码扫描,功用测试,平安测试。

静态代码扫描

应用静态代码扫描东西对代码在编译之前举行扫描,并在静态代码层面上发明种种题目,个中包含平安题目。部份东西列表:

静态代码扫描我们采纳sonarQube集成,我们运用的是FindbugSecurity,精简划定规矩,然后在延续构建过程当中,举行静态代码bug,平安扫描。

静态代码扫描的同时也能够扫描第三方依靠包,OWSAP的Dependency-Check就能够集成到延续构建过程当中,因为IAST类产物支撑该功用,不多做引见。

功用测试

功用测试方面,公司测试部门完成了自动化测试平台,前期我们并未运用agent的体式格局检测,一开始运用开源的gourdscan加上openrasp,应用openrasp的默许开启不阻拦形式和破绽纪录功用来检测效劳端无返回的破绽。
只需要在自动化平台上设置代办IP:
openrasp破绽纪录

厥后测试反应扫描的脏数据太多,效果也并非很好,就摒弃了此计划。改用开辟阶段的IAST的插桩体式格局,同样在测试环境也和开辟环境一样应用agent来检测题目。功用测试完成以后。因为测试职员对破绽并非太明白,所以定的流程为测试职员到平台检察报告和平安职员沟通哪些题目需要修复,然后将题目写入到测试报告

平安测试

在测试阶段已将平安到场到全部流程内里,一切需求变动完成都需要经由过程功用测试,也就是一切的流程过一遍平安测试,如许平安人手也不是很足,决议采纳表里效劳辨别的方法来肯定是不是需要平安职员参与

破绽治理

破绽治理这一块制订了破绽治理制度,依据影响水平对破绽举行评级,严峻破绽必需改完以后才上线,高中低危破绽且影响较小需要排期,平安职员按期跟踪破绽修复状况。

五、 监控

付出公司平常平安装备基础都有,这一块基础大将装备的syslog打到日记中间可视化,并定制对应的划定规矩完成告警即可

六、结束语

个人学问和履历不足对sdl的体系并非很熟习,没什么履历,所以只能做到现在的水平。后续另有许多处所能够优化,增添流程等。如果有什么好的发起迎接交换。

 


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明精简版SDL落地实践
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址