敏捷開發(fā)中的安全實踐

1、敏捷開發(fā)中的安全實踐技術(shù)創(chuàng)新，變革未來安全重要么？被篡改網(wǎng)站10月2日10月9日10月16日10月23日10月30日11月6日310419911020282113423598數(shù)據(jù)來源：CNCERT互聯(lián)網(wǎng)安全威脅周報網(wǎng)絡(luò)安全的現(xiàn)實OWASP TOP10A1 SQL注入A2 失效的身份認(rèn)證和會話管理A3 跨站腳本(XSS)A4 不安全的直接對象引用A5 安全配置錯誤A6 敏感信息泄露A7 功能級訪間控制缺失A8 跨站請求偽造(CSRF)A9 使用含有已知涸洞的組件A10 未驗證的重定向和轉(zhuǎn)發(fā)安全開發(fā)所面臨的困難交付發(fā)布$80/涸洞$240/涸洞$960/涸洞開發(fā)的不同階段涸洞的成本編寫代碼集成構(gòu)建

2、QA$7600/涸洞數(shù)據(jù)來源：checkmarx安全開發(fā)所面臨的困難對千安全沒有認(rèn)知不知道如何將安全和開發(fā)結(jié)合起來不知道如何編寫安全需求，如何做安全測試項目緊急，時間不夠安全是安全專家的職責(zé)，不是程序員負(fù)責(zé)的如何兼顧敏捷開發(fā)同時還保證安全？1，統(tǒng)團(tuán)隊認(rèn)知，明確職責(zé)團(tuán)隊需要安全專家，但安全由團(tuán)隊起負(fù)責(zé)安全相關(guān)的用戶故事需要針對性編寫安全專家對代碼進(jìn)行安全評審安全專家組織安全代碼開發(fā)培訓(xùn)安全專家?guī)椭鶴A進(jìn)行安全測試如何兼顧敏捷開發(fā)同時還保證安全？2，元=L程遵循編碼規(guī)范(PHP-PSR，PEP8，OWASP)使用框架開發(fā)，使用開源組件在敏捷開發(fā)中使用安全工具使用持續(xù)集成系統(tǒng)如何兼顧敏捷開發(fā)同時還保

3、證安全？2，元=L程 SAST工具：Fortify，ZAP，Dependency-CheckRIPS，Burp Suite，BrakemanDAST工具：AppScan，WebInspect，Arachni SQLmap如何兼顧敏捷開發(fā)同時還保證安全？3，結(jié)合敏捷開發(fā)L程的安全故事分析故事啟動故事開發(fā)故事驗收故事測試故事演示編寫安全驗收標(biāo)準(zhǔn)，安全專家，客戶，QA確定安全驗收標(biāo)準(zhǔn)，安全專家，開發(fā)，QA編寫安全代碼，開發(fā)，QA按安全標(biāo)準(zhǔn)驗收，安全專家，開發(fā)，QA進(jìn)行安全測試，安全專家，QA展示上線產(chǎn)品，團(tuán)隊，客戶如何兼顧敏捷開發(fā)同時還保證安全？3，結(jié)合敏捷開發(fā)L程的安全代碼開發(fā)代碼管理 自動構(gòu)建版

4、本控制QA自動化Bug修復(fù)SASTDASTAVM代碼上線WAF，RASP如何兼顧敏捷開發(fā)同時還保證安全？4，敏捷和開發(fā)的平衡根據(jù)規(guī)范編寫安全代碼安全測試手工發(fā)現(xiàn)工具自動化批量結(jié)合CI/CD自動化如何提高人的安全意識？對千安全意識的提高，舉個例子SSRF( Server-side Request Forgery )危害:URL為內(nèi)網(wǎng)IP，直接訪間內(nèi)網(wǎng)資源URL中包含端口，可用千掃描如何提高人的安全意識？如何檢查IP是否為內(nèi)網(wǎng)IP/16/8/12/81. 利用八進(jìn)制IP地址繞過2. 利用十六進(jìn)制IP地址繞過3. 利用十進(jìn)制的IP地址繞過4. 利用IP地址的省略寫法繞過如何提高人的安全意識？HOST獲取繞過如何正確的匹配出URL中Host？只要不是內(nèi)網(wǎng)IP地址就可以嗎？只要Host指向的IP不