跟着芒果一起好好学习,天天向上~
在这周五我们举办了V咖分享会第十六期的分享,现在就由芒果为大家整理这次分享会的知识。本次整理内容包含我们的V咖刘冉老师的分享内容,部分提问及回复。想要提问或者观看完整问题解答的小伙伴,请积极参与到我们分享会中来,我们的分享会每两周就有一次哟~
由于语音分享时间超过30分钟,所以只能分为两部分,这是下集。
分享人:刘冉
基本资料
刘冉,现任ThoughtWorks资深软件质量咨询师,超过14年软件开发和测试工作经验。做过嵌入式系统和应用开发、Linux系统开发、测试工具和自动化测试系统开发。其中对于Web应用测试,Web服务测试,服务器性能测试,移动测试,安全测试,测试驱动开发,以及敏捷中的QA,测试分层一体化解决方案,以及SCM和CI有深入的理解。现在关注于软件测试全自动化,以及如何帮助大型团队有效的管理代码和CI,其中包括如何通过有效的代码分支管理,有效的代码提交以及CD来保证和改进软件质量。《代码管理核心技术及实践》作者。
■ ThoughtWorks 高级质量量咨询师
■ 14年年软件开发测试工作经验
■ 现在专注测试与质量量控制
■ 《代码管理理核⼼心技术及实践》作者
■ QCon,TiD,CSTQB,AgileChina,iSQE,BQConf等大会讲师
分享主题:软件安全测试101
随着服务器类软件系统规模的高速发展以及业务复杂度的快速增加,安全问题已经日益严重了。安全测试是发现安全问题的一种利器,其中被大家用得最多的就是渗透测试。很多人以为进行了几天的外包渗透测试并且安装了安全防火墙就可以高枕无忧了,但是仍然发现系统存在安全漏洞,并被黑客所利用。安全测试是一个复杂的系统工程,并不是一个渗透测试就能完成的。这次话题将整体上介绍安全测试,包括其体系与分类等,让大家能对安全测试从整体上有一个系统性的认识。
分享内容:软件安全测试
■ 什么是安全测试
■ 安全测试的分类
■ 安全问题分类
■ 经典的安全攻击
■ 安全测试的⼀一些实践
■ 总结
分享内容PPT:
答疑与讨论:
VIPTESTOPS云层:
devsecops怎么看?刘老师。
刘冉:
【语音回答】具体内容见《软件安全测试101-下》
总结,devsecops是好东西,就是有点贵,SDL是最贵的devsecops实践体系。
猜谜到老:
刘老师,能讲一下关于等保安全评测吗?
刘冉:
关于等保安全评测,我们没有做过,我觉得太重了,和SDL一样
VIPTESTOPS云层:
会有做线上持续发布的安全么?就是蓝绿部署下的安全。
刘冉:
sorry,我不是很理解“什么蓝绿部署下的安全”,因为所谓的部署安全其实和我理解安全测试不是很相关,它更多的是流程控制安全相关的东西。
VIPTESTOPS云层:
我的意思是持续发布后,特性会局部上线,这个安全怎么保证,在特性开关下?
刘冉:
你的意思是上线后的软件的功能是不是正确部署到线上了嘛?如果是这个意思,我们一般是用PVT测试来保障。
VIPTESTOPS云层:
微服务下,会局部升级
刘冉:
就是做Product Verification Testing,应该是pvt的概念。
VIPTESTOPS云层:
上线还得做线上安全吧?
刘冉:
你这个安全是说的可能被黑帽利用的安全问题,还是只是由于管理,代码或者部署错误导致的功能错误?
VIPTESTOPS云层:
以前是整个一起升级,现在可以通过灰度或者蓝绿部署,做到特性先生产,特性开关控制,再逐步放开切换用户升级,这类的安全现在有公司做么?我觉得应该算局部生产安全测试,或者是升级安全测试吧?
刘冉:
其实对于你说的情况,我们是对新的功能做安全测试。
VIPTESTOPS云层:
好的,有空单独请教。
刘冉:
所谓的灰度或者蓝绿部署其实就是多套产品系统而以,我们只是分别保证其安全
安全测试不会单独去强调或者关注灰度或者蓝绿部署。
Alex:
@长白自在仙 刘老师,您好,我想问下,我们安全团队现在有7-8人,但开发部门提交上来的应用系统太多,做不过来,现在用appscan去扫,有什么办法可以提高效率吗?
刘冉:
@Alex没有捷径,你现在最好的方式就是制定一个安全测试策略以及安全测试点优先级,然后公开透明出来,让老大认识到你们的资源只能做哪些事情。然后你们按照你们定义的安全模型和功能点的优先级从高往低做,能做多少算多少。如果不够久让领导加人。
如果领导愿意承担你们做不了的部分安全测试模型和功能点,那你们只有不做。
猜谜到老:
@长白自在仙 刘老师,在做安全功能测试时,一般要考虑哪些方面呢?能推荐一些常见的代码静态扫描、系统动态扫描和渗透测试工具吗?
刘冉:
在做安全功能测试时,一般要考虑哪些方面呢?这个考虑的方面主要是开应用系统类型,业务类型和技术架构。
如果你是web app就看看这个:
https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents;
mobile就看看:
https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide。
关键还是那几个top10漏洞模型。
代码静态扫描、系统动态扫描和渗透测试工具,我没有推荐,因为我只用过开源的,其实很多商业的做得很好,但是我没有机会和钱去用。所以这个我就不推荐了。
VIPTESTOPS云层:
商业工具懒,但是也要你懂道理。
Alex:
@长白自在仙 考虑到安全模型,制定安全测试策略,有什么书籍或网站推荐的
刘冉:
@Alex安全测试模型和安全测试策略我还没有看到过好的书,现在我主要是靠经验。如果一定要推荐就是讲安全测试和攻击的书和网站,比如:
这个本书是我见过讲Web安全测试最好的书。我买了两本,公司放一本,家里放了一本。不仅方便自己查阅,而且还用来回答同事问题,直接给他看书的某几页,我就可以节约时间了。不仅可以回答问题,当和Dev吵的时候,这个也是证据。
David_Huang:
@长白自在仙刘老师,我最近也是在学习安全测试的一些理论和技术,基本的概念什么的也都了解的差不多了,但是还是不知道怎么入手,不知道你那有没有实施过的案例模板可以借鉴借鉴。比如说某个系统的安全测试方案,策略什么的。
刘冉:
其实就从威胁建模入手就可以了,我做过的系统的威胁建模的资料不能分享哈,不过可以分享我们培训威胁建模的文档。(文档请关注我们的公众号后,点击原文阅读领取)
David_Huang:
都可以,我只是想知道这种可以从哪些方面着手
刘冉:
威胁建模的产出就是安全测试的策略。
VIPTESTOPS云层:
还是得懂实现。
VIPTESTOPS云层
入门的安全学习我可以简单班门弄斧
刘冉:
@VipTestOps云层 其实你只要去把cve和nvd的安全漏洞看一遍,并且看懂了,很多网站就沦陷了。看看当年乌云就知道中国的软件系统的漏洞有多少了。
祝大家软件系统中的安全漏洞越来越少。
