本文主要通过ViVO的移动端的DevSecOps开发实践文件进行学习整理。
01
DevSecOps基础
DevSecOps是一套使用并且面向目标的方法,用于确保系统安全。它是指通过与 IT 安全团队、软件开发人员和运营团队合作,在标准 DevOps 周期中建立关键的安全原则。
DevSecOps是一种融合了开发、安全及运营理念的全新的安全管理模式,其核心理念是:业务应用生命周期的每个环节都需要为安全负责,安全是整个 IT 团队(包括开发、测试、运维及安全团队)所有成员的责任,并且需要贯穿到从研发至运营的全过程。
在 DevSecOps 的每个阶段都实施了多项安全措施。以下是此类安全程序的各个阶段:
第一阶段:威胁建模
威胁建模总结了可能的攻击场景,列出了敏感数据的流向,并突出了漏洞和缓解替代方案。此阶段有助于解决安全问题并提高团队的安全理解。
第二阶段:扫描
扫描阶段评估代码以确保其安全且没有安全漏洞。此处包括手动和自动代码审查。在此步骤中,使用了 SAST 和 DAST 等 AppSec 工具。由于处于软件开发生命周期的早期,此阶段允许工程师解决大多数安全漏洞和缺陷。
第三阶段:分析
分析所有先前获取的数据和指标,以识别此阶段的任何安全漏洞。然后将危险分类到一个列表中,从最严重到最轻微。一些 SAST 程序(例如 Klocwork)可以自动执行此过程。
第四阶段:补救
补救阶段处理在先前阶段已识别和组织的安全漏洞。一些 DevSecOps 技术(例如 SAST)可以针对发现的漏洞、缺陷和缺陷提出修复建议。这使得在出现安全问题时更容易处理它们。
第五阶段:监控
在监控阶段,跟踪发现的漏洞,努力减轻或消除它们,并对应用程序进行整体安全状况评估。跟踪和管理实际指标值和目标指标值之间的变化也很好。在软件开发生命周期中,这有助于做出明智的数据驱动决策。组织应首先在安全单元测试中实施持续安全。安全单元测试要求与我们编写的其他单元测试一样重要。
02
移动端软件组成
03
安全开发实践架构
04
编码安全
05
供应链安全
06
编码与构建
07
测试
08
安全管理平台
09
小结
对APP进行结合静态分析和动态分析,从应用代码、配置、组件、数据、加密、通信等多维度进行全面扫描,实现多角度全面评估应用客户端可能存在的安全风险。
以相关监管机构发布的法律法规为依据,对法律法规进行解读并将其转化成隐私与合规检测规则,最终将规则结合动态监测、静态分析、AI检测等技术,应用到内外部移动App隐私与合规检测中,发现App可能存在的隐私与合规风险。
原文始发于微信公众号(编码安全):移动端DevSecOps实践整理
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论