自動安全檢測五大實例

原文by Hiren Tanna,Jul.24,17 ,發表在Security Zone

注意:這篇文章是由「編程少年」翻譯,轉載請註明。

Gartner最近推出的應用程序安全測試(AST)Magic Quadrant總結得出,由於AST解決方案適應新的開發方法和增加的應用程序複雜性,所以安全測試的增長速度要快於任何其他安全市場。安全和風險管理領導者必須將AST納入其應用安全計劃。隨著虛擬世界的風險和攻擊數量的增加,確保應用程序安全性的需求也隨之增加。這是自動安全測試優先考慮的原因,並且持續測試和交付的想法也得到了認可。

作為常規做法,安全測試在應用程序交付後進行。這個應用測試了安全漏洞和認證,但是結果不足,可能會導致應用程序中斷。 DevSecOps已經進展到通過將DevOps的內在優勢納入安全測試過程來平衡安全測試需求。該模型提供了一個框架,用於在開發和部署管道中添加安全檢查,並使每個人都確保安全。

因此,自動化測試被嵌入測試周期中,保持DevOps模型作為重點。這導致了各種工具和技術的興起,使企業能夠使用DevOps提供安全測試。

軟體應用越來越複雜,由於市場風險和各種固有的漏洞,可能會受到威脅。因此,測試必須嚴格和迭代。 DevSecOps彙集了DevOps,安全測試和自動化的優勢。 DevOps的核心目標是為開發團隊提供更多的權力來部署和監控應用程序。因此,實施自動化測試以實現更快的結果可確保更好的應用程序質量。

DevSecOps運動仍在進行,規則仍然落後。企業正逐步了解自動化和實施安全測試的最佳方式。這樣,安全測試就會變得更加強大,迭代,更靈活地應對市場挑戰。這個概念還在不斷發展,但是其根本是一樣的,仍然非常接近於自動化測試和DevOps模型。結合安全方面很重要。持續測試和交付構成了DevSecOps模型的核心,使測試和開發過程更加協調。

自動化安全測試的最佳做法與實施任何自動測試項目的最佳方法相似。只有安全測試必須在此過程中無縫集成。

1.識別漏洞

建議將應用程序分解成零件/單位,並檢查它們是否存在漏洞。這有助於識別應用程序漏洞各個方面的故障路徑和漏洞。網路空間中的許多病毒和錯誤傾向於挖掘基本的和最不被忽視的安全漏洞。它們有可能是認證不足,密碼無效或安全策略不足。有一些漏洞掃描器用於識別主機上的隱藏網路和漏洞。通過打破應用程序並對每個功能進行自動測試,可以有效地識別漏洞。這是第一步或最基本的方面,因為這將使團隊能夠採取進一步的行動。

實際上,在執行測試後,團隊可以根據技術嚴重程度對漏洞進行分類,推薦單個安全解決方案或多個補丁和升級。

2.使用DevOps進行自動整合實例

測試的自動化是整個DevOps方法的推動者。只有自動化成功實現,DevOps才能取得成功。連續測試和交付的概念是基於測試自動化的基礎,通過該過程有效地實現。 DevSecOps的概念提促成了通過測試周期自動執行安全測試的想法。

最好的方法是將自動化測試和DevOps方法的最佳實踐與安全測試目標相結合。在連續測試過程運行時,Test Automation可以幫助同時找到缺陷,軟體版本會持續發生。因此,在部署階段,測試正在驗證應用程序的安全性。

3.選擇正確的工具

市場上有多種工具和技術來促進DevOps的實施。類似地,隨著自動化,安全測試和DevOps的強大結合,我們有迫切需要去選擇正確的實施工具。

您可以凍結任何測試自動化框架,但它必須與項目的目標和安全要求協調一致。理想情況下,建議選擇開發,運營和安全團隊熟悉的工具,並可以有效地整合到測試周期中以獲得明確的結果。

4. 通過定期路由實現自動安全測試

安全測試不需要特殊待遇或方法。用於安全測試的自動化類似於功能或性能測試的自動化。在自動化測試過程中,安全測試可以分為功能安全測試,如認證和密碼生成,和針對已知缺點的特定非功能測試,應用程序和基礎架構的安全掃描以及安全測試應用程序邏輯。

核心思想是分析安全測試的目標,通過自動化測試指定成功標準。獲得所需的結果並解決具有所需自動化的漏洞很重要。只要滿足業務關鍵目標,就無法解決過度自動化或自動化不足的問題。

5.測試漏洞爆發

自動化安全測試的目的是使應用程序準備好進行任何可能的爆發或大規模攻擊。在確定目標和戰略的同時,重要的是使用正確的工具/框架來防止爆發。目前的情況對於任何應用程序都是可怕的,漏洞可能會從應用程序或外部應用程序中出現。開發自動化框架來測試任何此類的漏洞攻擊可能是一個很好的做法。

自動化框架在一段時間內可以通過更好的測試用例來增強。因此,為企業/團隊投資建立一個強大的安全測試框架是絕對值得的。

總結

最近的新聞報道發布說世界上最大的保險公司(勞埃德)受到網路攻擊,該公司的損失為531億美元到1,124億美元之間。網路攻擊和病毒威脅加強了每個行業對安全測試的需求。最佳做法是構建一個全面的自動安全測試策略,並確保您的關鍵業務應用程序。

本文譯自:

英文原文地址dzone.com/users/2938434


推薦閱讀:

golang channel阻塞與非阻塞用法
NBA首次舉辦編程馬拉松,深度數據已成球隊新寵
為什麼github不出中文版?
就入門級別而言,什麼樣的代碼才能叫做「優秀的代碼」?

TAG:安全测试 | 科技文献翻译 | 编程 |