Search
#線上研討會
愈來愈多企業開始從應用軟體開發流程即控管資安品質,採用應用程式安全性的工具進行檢測,但拿到報告之後呢?
本次將分享👉
🔺 Lucent Sky AVM 白箱檢測掃描解決方案🔺
#業界獨家技術 - 找出程式弱點並修正它們,快速協助企業提升程式碼的安全性並符合政府資安法規。
⏰ 播出時間:2021年8月31日(二) 下午2:00
🙋 我要報名:https://bit.ly/3xKJOGZ
ref: https://medium.com/devopscurry/securing-your-ci-cd-pipelines-with-devsecops-in-2021-1a6a6e34f2e7
本篇文章作者想要探討的是如何透過 DevSecOps 的概念來強化你的 CI/CD 流程。
文章開頭探討了些關於 DevOps 文化以及對團隊帶來的改變,如何將 Dev, Ops 的工作流程給帶入到一個不同的領域,這部分想必大家都熟識了,所以這邊就不敘述太多。
接者作者開始思考,CI/CD 這種自動化的過程中,如果我們想要檢查資安與安全性相關,那到底有什麼樣的資訊市值得我們去檢查與研究的?
假設今天採用的是市面上 SaaS 服務的所提供的 Pipeline 平台,這些平台本身的資安問題並不是使用者可以去處理的,這方面只能仰賴這些服務提供商能夠有效且安全的去防護系統。因此作者認為我們應該要將注意力放在我們自行設計的 pipeline 過程中。
作者接者列舉了幾個議題,譬如
1. Source Code Vulnerabilities
這個議題要檢查的是軟體本身是否有相關的漏洞
2. OSS Library Vulnerabilities
所有使用到的 OSS Library 也都可能有漏洞需要注意,所以平常也要多注意 CVE 相關的資訊,有任何可以修復的機會時,團隊一定要評估是需要升級相關的 OSS
3. OSS Version
OSS 的社群也是會不停的開發與迭代,某些版本可能多年後就不被該社群團隊給維護,所以如果目前使用的 OSS 版本已經被標示為 deprecated,那意味就算有任何漏洞可能都不會有相關維護者去補修。因此團隊也要審慎評估是否要趕緊升級到一個有被維護的版本
4. Identifying Compromising Credentials
CI/CD 系統中不免都會有一些跟機密資訊有關的資料,這些資料是有可能當初處理時沒有被妥善管理,譬如不小心被 commit 到 source code 之類的,這部分的錯誤也都要避免。
檢查方面,作者提出不同的方式來檢查,譬如
1. Static Application System Testing(SAT)
程式編譯前的靜態掃描,該方法會嘗試分析程式碼本身是否有安全性漏洞,也是俗稱的白箱測試。
2. Active and Passive penetration t est (Dynamic Analysis)
3. Infrastructure Analysis
該方法包含了檢查環境中用到的設定檔案,伺服器狀態等,透過這些資訊來了解當前是否有什麼潛在的問題
最後,作者列舉出一些相關的工具,譬如
1. Checkmarx
2. IMMUNIO
3. Aqua Security
4. OWASP Zed Attack Proxy
5. Twistlock
6. CyberArk
7. WhiteSource
8. CHef InSpec
9. Fortify Webinspect
很開心在去年有實聯制相關規定之後,
現在終於有了一個比較合理的官方解決方案。
過去一年從商家到政府機關普遍都是紙本抄寫,
使得所謂的「實聯制」不但大幅增加了接觸風險,
也讓每個人的資料直接背後寫的人一次看光。
被看到姓名可能還好,
但也有不少單位趁機搜集過多資訊,
姓名、手機、信箱、甚至身分證字號,
已經是非常明白地不符合比例原則,
甚至有不肖店家將實聯資訊轉做行銷用途。
疫情升溫後,這些五花八門的現象終於被重視,
無論是來路不行的Google表單、
所謂通過其他機構資安驗證的Google表單,
或是民間百花齊放的各種工具,其實都相當危險,
既不知資料保存期限、方式,
更難以知道這些工具對資料讀取的限制與機制。
還好今天終於出現了相較之下最不侵害個資的方案。
今天推出的這款「#簡訊實聯制」,
終於可以讓大家在無接觸行為之下,
不需要透露任何資訊給店家就能完成登記,
不需下載新的APP、不需填寫任何資料,
甚至在網路不快的情況下都不會導致效率降低。
各位只需要加入疾管署官方LINE「疾管家」,
就能使用其中的「實聯制掃碼」功能,
掃描店家、大眾運輸上的QR Code後,
就會自動填好簡訊內容,免費寄出即完成登錄。
比起民間難以確認資安級別的工具,
希望每個個人、店家都盡快加入使用。
但是當然,這還是有一些缺點,
先前「臺灣社交距離」讓人較為放心的重點,
就在於其資料存在本地,沒有資料集中的風險,
而且只有當使用者主動授權,才會將資料向外傳出,
互動過程中,不會有任何有辦法可以對應到任何人。
但現在的方案,其實基本上是當下就傳輸出去了,
並且集中存在每個號碼簽約的電信商的資料庫裡,
也就是依然集中儲存在某幾間企業中。
當然,不可否認這可能已經是目前最好的方案,
希望可以盡快將掃描功能加進 #臺灣社交距離APP,
讓台灣大眾更方便、直覺地共同防疫,
也希望未來相似的便民服務可以有一套完整機制,
讓大家知道這些資料在什麼場景、依據什麼規則,
會被怎麼樣的應用,這或許才是資料人權的真正展現。
今天正式全國都進入第三級警戒,
因此,如果可以,還是希望大家盡可能都待在家,
減少製造自己需要使用到實聯制工具的機會。
願大家平安。
https://jasonhsu.pse.is/3g2vd5
[資安] 黑白箱測試工具承上篇,筆記一下針對有高規格資安審查條件的案件,可以採用的測試工具。 白箱是指原始碼的掃描,由內部直接對原始碼進行掃描尋找漏洞。 ... <看更多>
HCL Appscan source 白箱掃描 案例:PHP ... 84 views 2 years ago HCL Appscan 黑白箱 工具 實機展示. HCL AppScan過去為IBM Appscan,目前由全球前五大 ... ... <看更多>
白箱掃描工具 在 [請益] 原始碼弱點掃描工具(ASP) - 看板Soft_Job - 批踢踢實業坊 的推薦與評價
各位前輩好
公司之前有承接一些古老的維護案,
用的語言是最舊的Classic ASP + VB Script。
最近客戶要求要進行原始碼弱點掃描(白箱測試),
不過google了幾套免費掃描軟體,似乎都不支援掃描ASP,
測試過Visual Code Grepper 跟 sonarqube,
都掃不出東西...囧rz
然後查了一些台灣有代理的付費軟體,價格都寫得有點含糊,
申請試用都有點麻煩。
例如 Checkmarx O-Scan之類的...
我的問題是...
1.是否有前輩知道有能夠掃純 ASP+VBS+JS 的免費弱點掃描工具?
2.若是買台灣代理商的付費軟體,買來後是安裝在主機上,隨時想掃就掃嗎?
還是要透過對方公司協助掃描產出報告??
若是後者,感覺在修補弱點的時候有點麻煩,沒辦法馬上重掃看修補的結果...
3.若是付費軟體是否有推薦價格比較親民的?? (10萬以內?)
4.若是購買付費軟體,是否能夠拿來接幫別人弱掃的case? XD
以上問題,懇請前輩們解惑,感激不盡!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.171.123 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1652460203.A.734.html
※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 00:44:53
只是我目前試過的免費工具都沒辦法掃 純ASP >_<
※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:15:41
※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:40:19
... <看更多>