全面的应用程序安全测试所需的成本和时间通常会阻碍企业实施适当的漏洞测试和修复策略。当然,那是在惹麻烦。幸运的是,该流程可以简化,使您能够以更有效和及时的方式进行应用程序安全测试。
我们将回顾您可以做的八件具体事情,立即开始,这将有助于您的appsec测试更顺利,更好的结果。
应用安全测试:你在浪费时间吗?
应用程序安全性测试很重要有三个原因:
- 无论您认为代码的安全性如何,应用程序始终都存在漏洞。
- 应用程序安全性测试是在外部黑客暴露这些漏洞之前识别这些漏洞的主动方法。
- 在部署之前识别漏洞可以节省大量的时间,金钱和资源。在应用程序掌握在用户手中之前,可以解决问题;如果在发布后发现问题,您将需要向用户群发送更新,并且您可能会遭受声誉损失和/或诉讼风险。
因为测试和修复漏洞需要时间,所以效率越高越好。您希望从测试中获得最相关的结果,误报率和重叠结果的数量最少。重叠结果 - 由多个工具识别的结果 - 非常常见,因为没有一个工具可以找到所有错误。大多数开发人员使用多个工具。这会自动引入低效率,因为每个工具都有自己的用户界面和报告方法。您的开发人员必须学习如何使用多个工具,但结果和建议通常以不同方式呈现 - 并且经常重叠。
如何简化应用程序安全测试
以下是简化应用程序安全性测试过程的“最佳实践”,因此可以更轻松地集成到开发过程中。
1.利用应用程序漏洞关联(AVC)工具 -
AVC工具汇总来自多个工具的数据,对结果进行重复数据删除。您可以使用过滤器来关注最关键的区域。您可能已经定义了各种严重性级别,或者您可能会关注OWASP指南。 AVC工具确定安全范围的差距。它们还使结果和严重程度标准化。例如,Code Dx是一个AVC工具,允许开发人员使用一种通用语言,可以在组织内或从一个项目到另一个项目进行自定义。用户可以使用SQL Injection的默认描述以及引用和补救建议,或者为其组织定制指令性指南 - 可能使用内部门户链接或内部软件库来帮助解决安全问题。
2.将漏洞发现与一个有凝聚力的报告相关联 -
必须将调查结果与多种类型的测试和技术相关联,包括SAST,DAST,IAST,组件分析,手动测试,代码审查和威胁建模。这可能是一项非常耗时的工作,并且随着开发人员以各种格式和多种来源接收信息,使补救更加具有挑战性。相关工具通过编译,重复数据删除和分析各种测试方法的结果来简化这一过程。开发人员会收到一份清晰且易于理解的报告。这是对多个,重叠甚至相互冲突的报告的巨大改进。
3.使用应用程序安全性编排 -
此类工具允许您在一个位置管理多个appsec工具。您可以轻松地将一个供应商换成另一个供应商而不会中断工作流程。 Code Dx通过其REST API与Systems Development Life Cycle(SDLC),Jenkins构建服务器插件和其他构建服务器集成,使Code Dx易于在现有管道中使用。您还可以通过自动配置自动合并某些SAST工具。该程序根据正在测试的应用程序确定应运行哪些工具。
4.加快开发补救和协作 -
如果安全分析师和开发人员通过测试工具连接,他们可以就问题和进展进行沟通,测试和开发将成为一个更有效和集成的过程。这样做的一种方法是使用Code Dx之类的工具,它可以自动在Jira中输入已识别的威胁,使开发人员了解最新的潜在漏洞。 Code Dx还提供分配任务,跟踪进度和发表评论的功能。用户可以对漏洞采用一致的描述;所有工具的输出都将使用相同的术语。您还可以自定义术语以匹配组织的语言。
5.将数据存储在集中式存储库中 -
将所有应用程序安全信息存储在一个中央,安全的位置,使组织内的所有相关方都可以访问数据。用户可以搜索和排序结果,分配任务,甚至可以运行有关漏洞的报告。
6.保持合规 -
确保您的应用程序符合任何相关法规保护您的声誉,并防止您因违反任何违规行为而被罚款。使用可根据常见合规性标准自动检查漏洞的工具。 Code Dx为许多标准做到了这一点,包括OWASP Top 10 Mobile,HIPAA,DISA安全技术实施指南,NIST 800-53和支付卡行业数据安全标准。
7.与集成开发环境(IDE)集成 -
通过在开发过程中识别和解决威胁,将应用程序安全测试与IDE集成可以节省时间。例如,如果您的开发人员在Eclipse或Visual Studio中工作,他们可以解决测试期间从此界面引发的问题。他们不需要切换到其他工具。他们可以将补救措施纳入当前的工作环境。
8.提供适当的安全培训 -
应为参与开发和测试过程的所有人员提供全面培训。应明确界定角色和责任。培训应保持新鲜并不断更新,以掌握最新的威胁,确保测试和解决过程更加高效。
应用程序安全性测试不一定非常困难。使用多个工具是必要的恶魔,但有一些方法可以对结果进行排序,整理和分析。简化流程意味着您可以快速识别问题,适当地解决问题,并通过补救流程跟踪问题。所有这些都可以在预生产环境中高效完成,保护您的资产和声誉。
原文:https://codedx.com/streamlining-application-security-testing-code-dx-blog/
本文:http://pub.intelligentx.net/node/473
讨论:请加入知识星球或者小红圈【首席架构师圈】
最新内容
- 20 hours ago
- 23 hours ago
- 23 hours ago
- 3 days 14 hours ago
- 3 days 21 hours ago
- 3 days 22 hours ago
- 3 days 22 hours ago
- 3 days 22 hours ago
- 1 week 1 day ago
- 1 week 1 day ago