其他
5个关键SAST活动,构建你的DevSecOps流水线 | IDCF
如何处理误报? 如何分类结果? 识别出来的新问题会如何处理? 我的扫描需要4到5个小时才能完成。如何在DevSecOps流水线中使用此工具?
DevSecOps流水线的5个关键检查点
1)目的
2)收益
3)用例
2、提交时检查
1)目的
3)关键
4)用例
3、构建时检查
1)目的
2)收益
代码无法编译 单元测试失败 SAST失败 过多问题发现 发现漏洞时(例如,SQL注入或XSS)
3)关键
4)用例
4、测试时检查
1)目的
2)收益
3)关键
4)用例
5、部署时检查
1)目的
2)收益
3)关键
4)用例
自动化配置管理 自动配置运行时环境
持续监控,自动收集应用级别安全指标 安排安全扫描 执行漏洞扫描 协助漏洞扫描 创建事件响应计划 向DevSecOps团队提供洞察力以推动威胁情报活动
DevSecOps检查工作流程示例
1、预提交阶段
2、提交时阶段
3、构建时阶段
4、测试时阶段
5、部署时阶段
回顾一下
将SAST集成到DevSecOps流水线
活动1 扫描应用
1)扫描代码和审核/分类结果
如果这是对源代码的首次扫描,你需要对扫描的发现问题进行完整的审核检查,称之为“分类”。 如果这是对源代码的后续扫描,则会将扫描报告文件上载到企业服务器。企业服务器把新的扫描与先前审核/分类的扫描结果进行合并,并突出显示尚未审核的新问题。这样,你就可以消除重复的工作。
标记结果(“不是问题”,“可疑”等)。 取消假阳性结果。 隐藏这些发现。
2)合并后续扫描结果
3)消除误报
4)自定义规则集
在DevSecOps流水线中自动化SAST工具
活动2 SAST01:高度配置的规则集
SQL注入 跨站脚本(存储) 跨站脚本(反射) 资源泄漏 硬编码 配置审查
活动3 SAST02:客户的十大问题
SQL注入 - 与SAST01相同 跨站脚本(存储) - 与SAST01相同 跨站脚本(反射) - 与SAST01相同 资源泄漏 - 与SAST01相同 硬编码 - 与SAST01相同 会话管理 配置审查
活动4 SAST03:OWASP十大问题
恶意文件执行 不安全的直接对象参考 信息泄漏和错误处理 命令注入 弱加密 拒绝服务 路径操纵 不安全的密码存储
活动5 SAST04:综合规则集
XML注入 XPath注入 XML外部实体 重定向 DOM XSS Cookie注入 表述性语言(EL)注入 标头注入 LDAP注入
回顾
让开发人员专注于修复缺陷; 通过在开发人员的IDE中使用预提交检查,在开发发布周期的早期阶段匹配源代码分析策略; 激发开发组织的预防意识; 使安全团队能够维护合规并集中的持续跟踪残余风险; 允许DevSecOps团队集成SAST工具,同时不增加生产前置时间。
本文翻译并整理自:
https://www.synopsys.com/blogs/software-security/devsecops-pipeline-checklist/
https://www.synopsys.com/blogs/software-security/steps-to-integrate-sast-into-devsecops-pipeline/
译者:姚冬