1. 研发过程DevOps与DAST无缝结合:
DAST结合到DevOps研发流水线的多个环节,实现版本及时、多阶段、可监测的扫描。
2. 无需人工介入即可自动完成DAST安全测试:
通过业务日志采集、清洗、过滤形成扫描参数;基于分级扫描策略自动进行扫描组装、触发。全流程无需人工参与。
3. DAST覆盖的深度和广度提升:
1) DAST覆盖广度提升:
参数过滤策略创新的引入场景参数维度,覆盖各业务场景;
多环境参数采集,现网环境导流进行补充;形成丰富广泛的扫描参数库。
2) DAST覆盖深度提升:
前置解决扫描上层报错问题,使扫描深入发现系统底层问题
4. 分级精准测试,提升DAST反馈效率:
基于DevOps的版本变更和回归信息,进行精准的新增流量扫描,提升DAST反馈效率;
将新增流量精准扫描,历史流量扫描,域名全量扫描结合,分级保证扫描质量。
DAST(动态应用程序安全测试)是一种应用广泛的Web安全扫描技术。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。传统DAST安全扫描是由人工收集被测业务接口的原始请求串,提交到专业安全扫描器,由安全扫描器向被测接口发起安全扫描。存在以下问题:
(1) 需人工组织安全扫描,过程效率低,且和研发流程分离;
(2) 业务请求串由人工梳理,存在梳理不全,导致业务场景漏扫情况;
(3) 安全扫描请求由于cookie过期等原因在业务上层报错,无法扫描到底层的sql、网络调用等,导致底层逻辑漏扫。
了解DAST安全扫描如何结合研发流水线形成自动化;
了解DAST安全扫描实践需要考虑的因素,如何扫描的更广泛,更深入,更精细化,使得安全扫描更加可靠。
2017年中山大学硕士毕业加入腾讯;任职腾讯期间,主要负责腾讯自选股、支付清算业务测试和自动化建设;负责Web安全扫描应用、敏感信息检查、日志定位等工具设计开发,结合DevSecOps进行安全相关实践。
擅长领域:自动化测试、Web安全扫描
安全工具DAST在DevSecOps中的实践与挑战