DevSecOps 中的漏洞管理(下)

陈哥聊测试
• 阅读 274

《DevSecOps中的漏洞管理(上)》中讨论了什么是漏洞管理,在讨论DevSecOps及DevOps模型中包含安全性的重要性时,建立有效的漏洞管理实践是非常重要的。这可以通过将漏洞管理设置为程序来实现。

我们可以开始对IT组织进行漏洞管理评估。人们经常问的问题可能是,既然已经建立了一些补救机制,为什么还需要进行评估。但拥有这些类型的评估以跟上安全和漏洞修复的行业标准是极其重要的。以下就是需要进行漏洞管理评估并跟上行业安全标准的原因之一。

在典型的IT组织中,我们用于软件开发的项目中,只有20%-25%的自定义代码。我们将使用所有工具进行不同类型的代码扫描,并确保修复漏洞。然而,其余的代码将来自开源模块和库。我们检查出的框架和库将继承下面的更多框架和库,我们可能不知道这些代码有多干净。这些代码不是内部编写的,我们不知道它为成功运行所做的一些调用;另一方面,我们有包含包和元数据的容器。如果没有以正确的方式进行配置,作为代码的基础设施可能会为漏洞开辟多种途径。

因此,正确实施DevSecOps可以首先缓解漏洞,而正确的漏洞管理可以补救开放的漏洞。

DevSecOps 中的漏洞管理(下)

通过漏洞管理实践实现高效应用程序安全的步骤,直到操作成熟:

1.漏洞管理评估

评估对于了解IT组织的环境非常重要。这将使我们能够优先考虑避免风险的漏洞类型——分析漏洞风险并关注紧急情况。我们可以定义、识别和监控已知或新出现的漏洞的端点。

2.身份和访问管理

需要高效的IAM(Identity and Access Management,身份识别与访问管理)来主动防止漏洞的打开。IAM是组织中需要放置安全层时内部网络和外部网络之间的网关。利用适当的身份验证技术,如多因素身份验证(MFA,Multifactor Authentication)、Sigle Sign-On(SSO,Sigle Sign-On)和基于风险的身份验证(RBA,Risk-based authentication)。

  • IAM的优势如下:
  • 确保数据机密性
  • 数据安全
  • 阻止恶意软件攻击
  • 将组织门户仅限于所需的各方

3.SAST 和 DAST扫描

SAST: 静态应用程序安全测试分析程序源代码,以识别安全漏洞。SAST方法指导开发人员在早期开发阶段开始测试他们的应用程序,而不执行功能组件。这种方法可以尽早发现应用程序源代码的安全缺陷,避免将安全问题留给后期的开发阶段。这减少了开发时间并增强了整个程序的安全性。

DAST: 动态应用程序安全测试实时扫描软件应用程序,查找主要漏洞来源,发现安全漏洞或开放漏洞。DAST测试正在运行的应用程序,但不能访问其源代码。DAST是一种封闭盒测试形式,可以刺激外部攻击者的视角。它假设测试人员不知道应用程序的内部功能。它可以检测SAST无法检测的安全漏洞,例如仅在程序运行时出现的漏洞。

因为DAST测试需要一个完整的工作应用程序,所以将它们保留到应用程序开发过程的后期阶段。测试人员需要与应用程序交互:提供输入、检查输出,并模拟用户交互的其他典型操作。

4.有效配置管理数据库(CMDB,Configuration Management Database)

保持最新的配置管理数据库是成功的漏洞程序极为重要的方面。理解组织的软件资产和配置管理过程是关键。配置发现工具,以更透明地洞察软件配置。更新CMDB并将配置项映射到服务和应用程序。

结论

在拥有高节奏的开发环境和具有自动化管道的IT运营团队的组织中,实现有效的漏洞管理非常重要。考虑到目前的行业形势,预防安全漏洞和网络攻击如呼吸一般重要。这可以通过在软件开发生命周期的早期和所有阶段引入安全方面并及时修复漏洞来实现。

点赞
收藏
评论区
推荐文章
李志宽 李志宽
2年前
1分钟教你学会Metasploit 安装与部署
前言Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。(来自百度百科)总之是一款非常优秀的开源渗透测试框架。安装Met
Stella981 Stella981
3年前
Linux应急响应(三):挖矿病毒
0x00前言随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、WeblogicWLS组件漏洞、Jboss
Stella981 Stella981
3年前
Linux提权的几种常用方式
在渗透测试过程中,提升权限是非常关键的一步,攻击者往往可以通过利用内核漏洞/权限配置不当/root权限运行的服务等方式寻找突破点,来达到提升权限的目的。1、内核漏洞提权提起内核漏洞提权就不得不提到脏牛漏洞(DirtyCow),是存在时间最长且影响范围最广的漏洞之一。低权限用户可以利用该漏洞实现本地提权,同时可以通过该漏洞实现D
Stella981 Stella981
3年前
FreeType 2.4.9之前版本多个远程漏洞(CVE
漏洞描述FreeType是一个流行的字体函数库。FreeType2.4.9之前版本在实现上存在多个堆缓冲区溢出漏洞、栈缓冲区溢出漏洞和拒绝服务漏洞,远程攻击者可利用这些漏洞执行任意代码或造成拒绝服务。解决方法以下是各Linux/Unix发行版系统针对此漏洞发布的安全公告,可以参考对应系统的安全公告修复该漏洞:Ubuntu\
Stella981 Stella981
3年前
GitOps—用于基础设施自动化的DevOps
GitOps提供了一种自动化和管理基础设施的方法。它通过许多团队已经应用的DevOps最佳实践来做到这一点,例如版本控制、代码评审和CI/CD管道。由于DevOps在提高生产率和软件质量方面的巨大潜力,许多公司一直采用DevOps。在这个过程中,我们已经找到了自动化软件开发生命周期的方法。然而,在基础设施设置和部署方面,它仍然主要是一个手动过程。
Stella981 Stella981
3年前
DevOps世界中的软件开发
!(https://oscimg.oschina.net/oscnet/f40e68cbfe8148deb00f040b4e917a0a.jpg)在整个软件开发过程中,开发人员通常需要花费大量时间来修复错误和漏洞,以便一切按计划进行交付。但是,通过DevOps实践,可以更轻松地管理和保护这些问题。这是由于以下事实:使用DevOps实践的软
Stella981 Stella981
3年前
DevSecOps 笔记
什么是DevSecOps “DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。DevSecOps过程开发过程构建管理
测试技术的重要性与应用:现状、方法和未来展望
在软件开发领域,测试技术扮演着至关重要的角色。测试技术是通过系统性的验证和评估来检查软件系统的正确性、可靠性和性能的过程。它旨在发现潜在的缺陷、错误和漏洞,并提供反馈和建议给开发团队,以便及时修复和改进。测试技术的目标是确保软件系统能够按照预期的方式工作,并满足用户的需求和期望。
陈哥聊测试 陈哥聊测试
10个月前
DevSecOps 中的漏洞管理(上)
IT安全领导者应该在他们的组织中采用有效的漏洞管理实践来实施适当的DevSecOps。
京东云开发者 京东云开发者
5个月前
从CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应
在当今数字化时代,网络安全已成为企业运营中不可忽视的重要一环。随着技术的不断发展,黑客攻击手段也在不断升级,其中0day漏洞的利用更是让企业防不胜防。0day漏洞是指在厂商尚未发布补丁修复的情况下,黑客已经发现并利用的安全漏洞。这类漏洞的危害极大,往往会给
陈哥聊测试
陈哥聊测试
Lv1
资深敏捷测试顾问,致力于测试自动化和DevOps等的实践和研究。
文章
50
粉丝
0
获赞
2