SDL[代码审计方案]
1.背景和需求
背景:
目前大部分企业的安全都存在问题,修复完了以后随着业务的变更又出现了新的问题,该怎么解决呢??? .....此处省略100字的介绍...
需求:
- 为了防止一些通用型,业务逻辑和严重的poc漏洞产生,需要从根源上入手提高业务代码的安全质量
- 防止随着业务的更新和迭代出现新,老问题
2.解决方案和实现方法, 周期[排期]
目前现状:代码管理仓库不统一:gitlab和gerrit
代码审计系统解决方案一:
采用旁路的方式进行代码安全审计,流程如下:
缺点:无法从流程上面截断,所以项目再流程上可直接绕过代码安全审计直接上线。
问题:无。
代码审计系统解决方案二:
使用流程截断的方式:采用jenkins配置gerrit+sonar和gitlab+sonar,具体流程如下:
缺点:gitlab无法截断流程
- 问题1:搭建jenkins配置gerrit+sonar和gitlab+sonar
- 问题2:推广jenkins使用和配置
- 问题3: 剔除掉其它规则,只留下安全的规则; 但sonar规则问题(维护,开发,审核,优化);
- 问题4:sonar用户操作权限设置, 存在绕过
- 问题5:不能确定代码审计的问题包含所有漏洞,且代码审计属于静态扫描会存在误报导致项目代码会延迟上线。
- 问题6:目前给公司带来的安全价值不大
实现方式:自建 or 购买 or 开源二次开发
周期:待定
3.选择策略[维度]
代码审计系统维度:
- 支持审计各种语言
- 支持批量审计
- ...
4.方案审核
开发,设计,前端都是自己;所以自己一遍过了! 哈哈
5.方案设计
6.方案实施
初期:...
SDL[代码审计方案]相关推荐
- SDL[扫描器方案]
1.背景和需求 背景: 目前国内和国外大部分企业在安全上都存在一些问题,其中主要体现在对外展示和业务方法的web站点上:...一大堆的介绍省略 ... 需求: 想做一个符合公司扫描测试需求又能自己玩的 ...
- Tesseract-OCR 图片数字识别的样本训练
最近想利用python写一段识别穿越火线交易所各种道具价格的代码.命令行执行: tesseract.exe grab.jpg result -l eng 使用默认的Tesseract语言库总会识别成字 ...
- java set%3c %3e哈希,敏捷开发实施方案.PPT
敏捷开发实施方案 /person.do?xcase=updateEmail&coreLogonInfo.emailAddress=flyh4t%40126.com&coreLogonI ...
- 微软SDL流程终极整理总结
目录 微软软件安全开发流程(SDL) 一.微软SDL(Security Development Lifecycle)流程框架 二.主要步骤 1.安全培训Training 1.1 Core Securi ...
- 论企业如何快速建立SDL流程
https://www.freebuf.com/articles/es/220410.html 前言 今年很多比较大的互联网公司开始试行SDL落地,但是由于相关资料文档有限,导致落地困难,今天这篇文章 ...
- 安全开发流程(SDL)
目录 0x01 SDL介绍 0x02 SDL流程框架 0x03 SDL实战经验 0x04 总结 0x01 SDL介绍 安全开发生命周期(SDL)即Security Development Lifecy ...
- 【网络安全】JAVA代码审计—— XXE外部实体注入
一.WEB安全部分 想要了解XXE,在那之前需要了解XML的相关基础 二.XML基础 2.1 XML语法 所有的XML元素都必须有一个关闭标签 XML标签对大小写敏感 XML必须正确嵌套 XML 文档 ...
- php敏感字符串过滤_PHP代码审计入门:常见的危险函数和审计点
01什么是危险函数 函数设计出来就是让人使用的,之所以危险,是因为其功能过于强大.开发人员特别是刚从业的人员很少会完整阅读完整个文档,再或者是没有意识到当给这些函数传递一些非常规的,外部可控的参数会带 ...
- 渗透测试之通过代码审计打点
文章来源: 酒仙桥六号部队 前言 代码审计(Code Audit)顾名思义就是通过阅读源代码,从中找出程序源代码中存在的 缺陷或安全隐患,提前发现并解决风险,这在甲方的SDL建设中是很重要的一环.而在 ...
最新文章
- neo4j安装_SpringBoot使用Neo4j
- 近期活动盘点:俞士纶见面会、2018未来医疗100强论坛、清华校友三创论坛、2018年中国数字政府论坛(12.18-12.21)...
- Android--调用内置的浏览器
- 【深度学习】手把手教你实现一个人工智能案例(蓄电池爬碱识别)
- 我们还有一些话想和你说
- 第十三期:消灭 Java 代码的“坏味道”
- php获取站点的根目录和站点的根URL
- java month_java11教程--类Month用法
- 27了,还应该再淡定么
- 二十四节气插画素材,每一张都带你如感
- Sql Server系列:开发存储过程
- 信息系统项目管理:如何制定项目章程?
- 签约新闻 | 出版发行行业又一位老牌企业的数字化转型,扬帆起航!
- Minecraft 1.19.2 Forge模组开发 07.拼图建筑(jigsaw)
- 2021-04-14
- 5G/NR学习笔记:3GPP 38.211- Carrier Bandwith Part, BWP-载波带宽部分
- 基于DTMF技术与射频技术的远程控制的实现
- Service ‘Jenkins‘ (Jenkins) failed to start. verify that you have sufficient privileges to start
- Sigrok逻辑分析仪软件(基于CY7C68013A)
- NASA计划2069年发射飞船至半人马座阿尔法星