当前位置:首页 > 报告详情

Gtest_【安全与压测专场】-《 Devsecops之sec实践与AI思考》360曹微.pdf

上传人: 张** 编号:618781 2025-03-07 37页 3.49MB

1、测无止境 数智共进2024全球软件测试技术峰会北京 12月devsecops之sec实践与AI思考演讲人:曹微2024年12月7日个人形象照片姓名:曹微360 技术中台 测试开发专家从事质量保障工作近15年,主要负责安全卫士、杀毒等客户端产品的测试设计并主导开发智能云系统、专项测试系统、捆包流程系统等多个工具系统01DevSecOps理解-安全问题频出南达科他州的系统崩溃0102科罗拉多州的密码泄漏03AI仿冒拜登的声音打电话安全性:产品或系统保护信息和数据,以便人员或其他产品或系统的数据访问适当的程度,他们的类型和级别的授权程度。安全性子特性包括:保密性、完整性、抗抵赖性、可核查性、真实性D

2、evSecOps理解-ISO对安全性的解释文化流程工具DevSecOps理解-devsecops解释瀑布敏捷devopsSDLdevsecops左移DevSecOps理解-devsecops工具链解决方案理念devsecops工具链DevSecOps理解-工具链中工具现状*静态应用安全测试(Static Application Security Testing,SAST)是一种在编码阶段对源代码进行安全扫描发现安全漏洞的测试技术。动态应用安全测试(Dynamic Application Security Testing,DAST)是一种在应用运行时模拟恶意攻击者发起自动攻击,并根据应用的具体反

3、应确定该应用是否存在漏洞的技术。交互式应用程序安全测试(Interactive Application Security Testing),IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术,在测试的同时可以无感知完成。商用:Fortify、Checkmarx开源:Raptor、RIPS商用:AppScan、AWVS开源:Owasp ZAP、Xray商用:悬镜灵脉、Contrast Security开源:HXSecurity 的 DongTai、百度OpenRASPWEB02Sec实践-PC客户端的sec现状SEC人工安审,阻塞发布缺少自动化方案Sec实践-PC客户端的se

4、c改进【V1.0】SECSECSECSECSECSec实践-PC客户端的sec建设的系统架构Sec实践-PC客户端在sec建设中遇到的难点全自动化工具少没有现成可用的动态AST自动化工具,通用性的工具误报率高。隔离于CICD流程功能测试完成后才进入安全审核,影响发布时间;一些小版本迭代容易忽略安全审核。需要选择合适的项目和工具集成的程度、审核的周期和结果的优劣也要平衡偏通用性缺少业务安全静、动态检查,偏通用性,对于业务的全面性覆盖不足;Sec实践-难点解决方案分优先级,逐步集成保证基础安全,扩展高阶安全全自动化工具少增加业务视角,丰富安全规则业务安全不全拆分专项集成到CI、CD的适合的节点隔离

5、于CICD流程传统方法为底座探索新的测试方法合适的项目和工具的选择效率流程效率效果信息泄露数据存储安全检查日志、代码、二进制、配置文件、中间敏感文件、注册表、数据库、调试日志,是否明文储存敏感数据debugview数据传输安全性密码、SQL语句暴露,明文传输(登录、认证、数据库等)非必要的数据传输wireshark反调试程序反调试或叫反逆向分析IDA内存检查内存中是否存在明文敏感数据winHEX物理设备检查键盘防监听、U口、防截屏XT仿冒文件劫持DLL劫持、白利用、program劫持Process Hacker远程劫持远程线程劫持、远程代码执行注入工具消息HOOKSetWindowsHookE

6、xXTAPIHOOKLoadLibrary/LoadLibraryA/LoadLibraryWAPI MonitorSQL注入数据库签名检查签名有效性、签名校验signtoolPE检查导入表、Depends、manifestdepends、PEview拒绝服务溢出测试内存溢出、程序崩溃appverifier编译选项检查ASLR、DEPbinscope权限提升弱口令检查Admin,123等文件、注册表、进程权限检查本身的权限检查、调用链的权限检查、不同用户调用的权限合理性检查权限控制UAC绕过Sec实践-流程-客户端

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要介绍了2024全球软件测试技术峰会北京站的主题为“DevSecOps之Sec实践与AI思考”的演讲内容。演讲人曹微是360技术中台测试开发专家,拥有近15年的质量保障工作经验。她主要讲述了DevSecOps的理解,ISO对安全性的解释,devsecops工具链解决方案理念,以及PC客户端的sec现状和改进。 关键点如下: 1. DevSecOps是一种将安全性集成到软件开发和运维过程中的方法,以提高软件的安全性。 2. ISO将安全性定义为保护信息和数据免受未授权访问的能力,包括保密性、完整性、抗抵赖性、可核查性和真实性等子特性。 3. DevSecOps工具链包括静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互式应用程序安全测试(IAST)等。 4. PC客户端在sec建设中遇到的难点包括全自动化工具少,通用性工具误报率高,以及安全审核隔离于CICD流程等。 5. AI在自动化流程和改进测试方面有重要作用,可以通过智能云系统全程测试,提高效率和准确性。 通过本文,我们可以了解到DevSecOps在软件测试和安全方面的应用和实践,以及AI在改进自动化流程中的潜力。
"AI在软件测试中的实际应用如何?" "如何通过DevSecOps提高软件安全性?" "软件测试中的自动化与AI技术前景如何?"
客服
商务合作
小程序
服务号
折叠