大型互聯(lián)網(wǎng)自動(dòng)化安全測(cè)試LargescaleInternetAutomated

1、large-scale internet automated security testing 大型互聯(lián)網(wǎng)自動(dòng)化安全測(cè)試woyiguiw：淘寶王挺工作：淘寶需要做到如下幾點(diǎn)：降低線上漏洞提高效率降低人員投入成本自動(dòng)化安全測(cè)試的目標(biāo)和價(jià)值依靠工具手工測(cè)試？關(guān)鍵字式的靜態(tài)掃描？傳統(tǒng)安全測(cè)試的方法？蜘蛛式掃描方式？?jī)?yōu)缺點(diǎn)&期望自動(dòng)化安全測(cè)試方法白盒自動(dòng)化黑盒自動(dòng)化如何實(shí)現(xiàn)白盒自動(dòng)化掃描修復(fù) 7 步走白盒測(cè)試tips:當(dāng)你把安全框架、規(guī)范、缺陷與開發(fā)流程打通，就降低了溝通成本：安全框架安全代碼開發(fā)規(guī)范誤報(bào)庫匹配基于安全框架規(guī)則掃描修復(fù)完成通知開發(fā)自動(dòng)代碼驗(yàn)證幾個(gè)小問題白盒測(cè)試tips 2: 誤

2、報(bào)率如何解決（誤報(bào)庫的建立，用體力換取精確）；tips 1: 根據(jù)不同公司的情況，建立自定義安全框架：tips 5: 建立安全測(cè)試平臺(tái)，將項(xiàng)目測(cè)試提交、漏洞管理等所有環(huán)節(jié)打通：tips 4: 適時(shí)代碼變更監(jiān)控，自動(dòng)缺陷驗(yàn)證：tips 3: 當(dāng)掃描漏洞后，直接漏洞通知到開發(fā)，減少溝通成本：黑盒自動(dòng)化測(cè)試框架（圖）黑盒測(cè)試日志收集 基于 timetunnel ，將所有服務(wù)器 apapche 等日志收集到 hadoop 集群數(shù)據(jù)存儲(chǔ) 基于 hadoop ，離線存儲(chǔ) apache、nginx 日志日志提取 基于 hive，適時(shí)提取新增的日志，并存儲(chǔ)至本地漏洞掃描 基于 java 開發(fā)漏洞檢測(cè)工具，適時(shí)

3、對(duì)新增的產(chǎn)品進(jìn)行fuzzing缺陷管理 基于淘寶缺陷管理平臺(tái)，當(dāng)發(fā)現(xiàn)漏洞后自動(dòng)通知開發(fā)，并實(shí)現(xiàn)自動(dòng)驗(yàn)證。一此資料黑盒測(cè)試日志收集 timetunnel ，/p/timetunnel/src/數(shù)據(jù)存儲(chǔ) hadoop ，/日志提取 hive，/ 漏洞掃描 自己公司開發(fā)的定制化檢測(cè)工具缺陷管理 bugzilla、bugfree 等，有集成消息通知更好。黑盒測(cè)試優(yōu)點(diǎn)發(fā)現(xiàn)蜘蛛、手工無法發(fā)現(xiàn)的api接口支持未知產(chǎn)品監(jiān)控支持實(shí)時(shí)性掃描節(jié)省人工成本支持大量產(chǎn)品同時(shí)測(cè)試結(jié)合測(cè)試環(huán)境，及早發(fā)現(xiàn)缺點(diǎn)無法掃描業(yè)務(wù)安全漏洞無法檢測(cè)api一次性失效的接口無法檢測(cè)邏輯引起的問題幾個(gè)小問題黑盒測(cè)試tips 2: 如何解決 post 數(shù)據(jù)的問題？；tips 1: 如何解決身份驗(yàn)證的問題？：tips 4: 如何解決 hosts 綁定的問題？：tips 3: 如何盡早解決漏洞遺漏到線上？：自動(dòng)化安全測(cè)試方法的期望平臺(tái)建設(shè)集項(xiàng)目流程、缺陷管理于一體的管理平臺(tái)黑盒掃描基于大數(shù)據(jù)、大產(chǎn)品的多維度自動(dòng)測(cè)試工具白盒掃描集不同語種的基于安全規(guī)范自動(dòng)化代碼檢查規(guī)則更新通過黑白組合映射關(guān)系，以及新型漏洞的更新缺陷管理消息通知、狀態(tài)提醒、角色控制流程優(yōu)化多維度優(yōu)化操作流程