设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 数据 公司
当前位置: 首页 > 服务器 > 安全 > 正文

如何确保应用程序的安全性

发布时间:2022-08-23 15:11 所属栏目:53 来源:互联网
导读:软件架构师Bob和安全开发工程师Alice是一家软件开发初创公司的成员。以下是他们之间关于开发一套新的微服务的对话。 以下将深入了解各个安全扫描工具内容(这足以帮助Alice做出决定)。 1.类别 以下是各种安全扫描工具的类别: (1)SAST(静态应用程序安全
  软件架构师Bob和安全开发工程师Alice是一家软件开发初创公司的成员。以下是他们之间关于开发一套新的微服务的对话。  

  以下将深入了解各个安全扫描工具内容(这足以帮助Alice做出决定)。  
 
  1.类别  
  以下是各种安全扫描工具的类别:  
 
  (1)SAST(静态应用程序安全测试),又名静态扫描  
  用于分析应用程序源代码以识别漏洞来源的白盒测试过程;通常在应用程序开发生命周期的编码/质量保证阶段实施,从而能够早期识别和缓解代码中的漏洞。
  确保应用程序从设计阶段就以强大且安全的方式构建,并在投入生产之前符合安全编码标准。
  提供SAST的一些工具包括SonarQube、App Scan、IBM Code Risk Analyzer、Fortify Static Code Analyzer、WhiteSource等。
  使用SAST工具之前,常用的评估标准是:
  支持所需的编程语言。
  误码率。
  漏洞检测精度。
  详细程度。
  代码安全分析结果的清晰性。
  (2)SCA(软件组合分析),又名依赖项扫描  
  跟踪代码库中的开源组件以检测漏洞、潜在的安全和许可证合规性威胁,使团队能够通过避免与IP、声誉和费用方面的冲突及早进行补救。
  当静态扫描检测内部开发的专有源代码中的漏洞时,软件组合分析(SCA)执行依赖扫描以识别开源依赖中的漏洞、发现已弃用的依赖项,并评估数字签名。它几乎没有误报,扫描速度非常快。不需要访问源代码,可以在软件开发生命周期(SDLC)的任何阶段进行集成,甚至在后期部署。
  一些提供SCA/依赖扫描的工具是White Source Software、GitLab、GitHub、Snyk和Jfrog Xray。
  使用SCA工具之前常用的评估标准是:
  开源组件及其漏洞的知识库。
  支持各种编程语言。
  扫描速度。
  易于使用报告的分析结果。
  开发生命周期各个阶段的集成能力。

  2.工具  
  (1)WhiteSource Scan
  WhiteSource具有SAST和SCA功能来执行代码的安全扫描。SAST能力可用于检测源代码中的漏洞,SCA可用于检测开源依赖项中的漏洞。WhiteSource帮助开发人员修复漏洞。它与Jenkins、Bamboo、AzureDevOps、GIT和TFS集成。  
 
  (2)SonarQube
  SonarQube是一个用于检查代码质量的开源平台,并与GitHub、BitBucket、GitLab、Maven、Gradle、Travis、Jenkins、Bamboo和Azure DevOps集成。SonarQube可以测量关键指标,包括错误、代码缺陷、安全漏洞和重复代码。SonarQube支持创建SonarQube插件,这有助于自定义代码规则。  
 
  (3)IBM CRA  
  Code Risk Analyzer获取所有基于Git的代码、配置和部署工件,构建依赖关系图,并运行合规性控制检查管道。它会生成一个物料清单(BOM)文件,其中列出了所有第三方操作系统包和应用程序包的依赖关系。它会发现物料清单(BOM)文件中列出的包中的漏洞。Code Risk Analyzer仅支持IBM Cloud®Continuous Delivery托管的github.com存储库、Git存储库和问题跟踪存储库。它可以启用CRA来扫描拉取请求和合并。  

(编辑:ASP站长网)

    网友评论
    推荐文章
      热点阅读