移动端DevSecOps实践整理

admin 2024年10月11日10:26:20评论11 views字数 1063阅读3分32秒阅读模式

本文主要通过ViVO的移动端的DevSecOps开发实践文件进行学习整理。

01

DevSecOps基础

DevSecOps是一套使用并且面向目标的方法,用于确保系统安全。它是指通过与 IT 安全团队、软件开发人员和运营团队合作,在标准 DevOps 周期中建立关键的安全原则。

DevSecOps是一种融合了开发、安全及运营理念的全新的安全管理模式,其核心理念是:业务应用生命周期的每个环节都需要为安全负责,安全是整个 IT 团队(包括开发、测试、运维及安全团队)所有成员的责任,并且需要贯穿到从研发至运营的全过程。

在 DevSecOps 的每个阶段都实施了多项安全措施。以下是此类安全程序的各个阶段:

第一阶段:威胁建模

威胁建模总结了可能的攻击场景,列出了敏感数据的流向,并突出了漏洞和缓解替代方案。此阶段有助于解决安全问题并提高团队的安全理解。

第二阶段:扫描

扫描阶段评估代码以确保其安全且没有安全漏洞。此处包括手动和自动代码审查。在此步骤中,使用了 SAST 和 DAST 等 AppSec 工具。由于处于软件开发生命周期的早期,此阶段允许工程师解决大多数安全漏洞和缺陷。

第三阶段:分析

分析所有先前获取的数据和指标,以识别此阶段的任何安全漏洞。然后将危险分类到一个列表中,从最严重到最轻微。一些 SAST 程序(例如 Klocwork)可以自动执行此过程。

第四阶段:补救

补救阶段处理在先前阶段已识别和组织的安全漏洞。一些 DevSecOps 技术(例如 SAST)可以针对发现的漏洞、缺陷和缺陷提出修复建议。这使得在出现安全问题时更容易处理它们。

第五阶段:监控

在监控阶段,跟踪发现的漏洞,努力减轻或消除它们,并对应用程序进行整体安全状况评估。跟踪和管理实际指标值和目标指标值之间的变化也很好。在软件开发生命周期中,这有助于做出明智的数据驱动决策。组织应首先在安全单元测试中实施持续安全。安全单元测试要求与我们编写的其他单元测试一样重要。

02

移动端软件组成

移动端DevSecOps实践整理

03

安全开发实践架构

移动端DevSecOps实践整理

移动端DevSecOps实践整理

移动端DevSecOps实践整理

移动端DevSecOps实践整理

04

编码安全

移动端DevSecOps实践整理

05

供应链安全

移动端DevSecOps实践整理

移动端DevSecOps实践整理

06

编码与构建

移动端DevSecOps实践整理

移动端DevSecOps实践整理

移动端DevSecOps实践整理

07

测试

移动端DevSecOps实践整理

移动端DevSecOps实践整理

08

安全管理平台

移动端DevSecOps实践整理

09

小结

对APP进行结合静态分析和动态分析,从应用代码、配置、组件、数据、加密、通信等多维度进行全面扫描,实现多角度全面评估应用客户端可能存在的安全风险。

以相关监管机构发布的法律法规为依据,对法律法规进行解读并将其转化成隐私与合规检测规则,最终将规则结合动态监测、静态分析、AI检测等技术,应用到内外部移动App隐私与合规检测中,发现App可能存在的隐私与合规风险。

原文始发于微信公众号(编码安全):移动端DevSecOps实践整理

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月11日10:26:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   移动端DevSecOps实践整理https://cn-sec.com/archives/1935388.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息