0x00 背景
Microsoft SDL在開發過程的所有階段都引入了安全性和隱私注意事項,從而幫助開發人員構建高度安全的軟件,解決安全合規性要求並降低開發成本。Microsoft SDL中的指南,最佳實踐,工具和過程是我們在內部使用以構建更安全的產品和服務的實踐。自2008年首次共享以來,由於我們在新場景(例如雲,物聯網(IoT)和人工智能(AI))方面的不斷積累的經驗,我們對實踐進行了更新。
0x01 DAST產品
對完全編譯或打包的軟件執行運行時驗證將檢查功能,這些功能僅在所有組件都已集成並運行時才顯而易見。通常使用工具或一組預先構建的攻擊或專門監視應用程序行爲的內存損壞,用戶特權問題和其他關鍵安全性問題的工具來實現此目的。與SAST相似,沒有一刀切的解決方案,儘管某些工具(例如Web應用程序掃描工具)可以更輕鬆地集成到持續集成/持續交付流程中,而其他DAST測試(例如模糊測試)則需要不同的解決方案方法。
國內:安恆信息、四葉草安全、國舜股份、綠盟科技、知道創宇、盛邦安全(WebRay)、安賽創想、安犬漏洞掃描雲平臺、啓明星辰、經緯信安、上海觀安、鬥象科技/漏洞盒子/網藤風險感知、恆安嘉新、安識科技、H3C、六壬網安、安碼科技、浙江乾冠、禹成在線、聚銘網絡、榕基軟件、凌雲信安、三零衛士、錦行科技、安數雲、有云信息、漏洞銀行、四維創智
國外:HCL AppScan (原IBM AppScan、AWVS、webinpsect、Netsparker、burpsuite(api對接或者是Burp Infiltrator)
開源:開源:owasp ZAP、openvas、w3af、whatweb、長亭xray社區版、其他一些小工具(如北極熊掃描器等)
0x02 SAST產品
SAST通常集成到提交流程中,以便在每次構建或打包軟件時識別漏洞。但是,某些產品集成到開發人員環境中,以發現某些缺陷,例如存在不安全或其他被禁止的功能,卻在開發人員積極編碼時,替換了那些原本更安全的方法。沒有一刀切的解決方案,開發團隊應確定執行SAST的最佳頻率,並可能部署多種策略,以便在開發產品與足夠的安全保障之間取得平衡。
國內:360代碼衛士、匠迪技術、SECZONE(開源網安)、三零衛士、能信安(能士we)
國外:Fortify、Checkmarx
開源:jenkins,sonar,pclint,findbug,findsecbug,owasp dependency check、RIPS(PHP)、Seay源代碼審計系統、VCG
0x03 IAST
滲透測試是由熟練的安全專家模擬黑客行爲,執行軟件系統的安全性分析。滲透測試的目的是發現由編碼錯誤,系統配置錯誤或其他操作部署弱點導致的潛在漏洞,因此,該測試通常可以發現種類最多的漏洞。滲透測試通常與自動和手動代碼檢查結合使用,以提供比通常可能更高的分析水平。
國內:默安-靂鑑IAST、開源網安SecZone VulHunter、懸鏡靈脈 AI-IAST滲透測試平臺、墨雲VackBot
(滲透測試平臺:安絡科技 長矛深度安全檢查系統、四維創智 天象綜合滲透測試平臺 、雨人Spartans分佈式半自動化滲透平臺)
國外:新思科技的Seeker、Contrast Security等
開源:百度RASP
歡迎大家分享更好的思路,熱切期待^^_^^ !!!