原文by Hiren Tanna,Jul.24,17 ,发表在Security Zone
注意:这篇文章是由“编程少年”翻译,转载请注明。
Gartner最近推出的应用程序安全测试(AST)Magic Quadrant总结得出,由于AST解决方案适应新的开发方法和增加的应用程序复杂性,所以安全测试的增长速度要快于任何其他安全市场。安全和风险管理领导者必须将AST纳入其应用安全计划。随着虚拟世界的风险和攻击数量的增加,确保应用程序安全性的需求也随之增加。这是自动安全测试优先考虑的原因,并且持续测试和交付的想法也得到了认可。
作为常规做法,安全测试在应用程序交付后进行。这个应用测试了安全漏洞和认证,但是结果不足,可能会导致应用程序中断。 DevSecOps已经进展到通过将DevOps的内在优势纳入安全测试过程来平衡安全测试需求。该模型提供了一个框架,用于在开发和部署管道中添加安全检查,并使每个人都确保安全。
因此,自动化测试被嵌入测试周期中,保持DevOps模型作为重点。这导致了各种工具和技术的兴起,使企业能够使用DevOps提供安全测试。
软件应用越来越复杂,由于市场风险和各种固有的漏洞,可能会受到威胁。因此,测试必须严格和迭代。 DevSecOps汇集了DevOps,安全测试和自动化的优势。 DevOps的核心目标是为开发团队提供更多的权力来部署和监控应用程序。因此,实施自动化测试以实现更快的结果可确保更好的应用程序质量。
DevSecOps运动仍在进行,规则仍然落后。企业正逐步了解自动化和实施安全测试的最佳方式。这样,安全测试就会变得更加强大,迭代,更灵活地应对市场挑战。这个概念还在不断发展,但是其根本是一样的,仍然非常接近于自动化测试和DevOps模型。结合安全方面很重要。持续测试和交付构成了DevSecOps模型的核心,使测试和开发过程更加协调。
自动化安全测试的最佳做法与实施任何自动测试项目的最佳方法相似。只有安全测试必须在此过程中无缝集成。
1.识别漏洞
建议将应用程序分解成零件/单位,并检查它们是否存在漏洞。这有助于识别应用程序漏洞各个方面的故障路径和漏洞。网络空间中的许多病毒和错误倾向于挖掘基本的和最不被忽视的安全漏洞。它们有可能是认证不足,密码无效或安全策略不足。有一些漏洞扫描器用于识别主机上的隐藏网络和漏洞。通过打破应用程序并对每个功能进行自动测试,可以有效地识别漏洞。这是第一步或最基本的方面,因为这将使团队能够采取进一步的行动。
实际上,在执行测试后,团队可以根据技术严重程度对漏洞进行分类,推荐单个安全解决方案或多个补丁和升级。
2.使用DevOps进行自动整合实例
测试的自动化是整个DevOps方法的推动者。只有自动化成功实现,DevOps才能取得成功。连续测试和交付的概念是基于测试自动化的基础,通过该过程有效地实现。 DevSecOps的概念提促成了通过测试周期自动执行安全测试的想法。
最好的方法是将自动化测试和DevOps方法的最佳实践与安全测试目标相结合。在连续测试过程运行时,Test Automation可以帮助同时找到缺陷,软件版本会持续发生。因此,在部署阶段,测试正在验证应用程序的安全性。
3.选择正确的工具
市场上有多种工具和技术来促进DevOps的实施。类似地,随着自动化,安全测试和DevOps的强大结合,我们有迫切需要去选择正确的实施工具。
您可以冻结任何测试自动化框架,但它必须与项目的目标和安全要求协调一致。理想情况下,建议选择开发,运营和安全团队熟悉的工具,并可以有效地整合到测试周期中以获得明确的结果。
4. 通过定期路由实现自动安全测试
安全测试不需要特殊待遇或方法。用于安全测试的自动化类似于功能或性能测试的自动化。在自动化测试过程中,安全测试可以分为功能安全测试,如认证和密码生成,和针对已知缺点的特定非功能测试,应用程序和基础架构的安全扫描以及安全测试应用程序逻辑。
核心思想是分析安全测试的目标,通过自动化测试指定成功标准。获得所需的结果并解决具有所需自动化的漏洞很重要。只要满足业务关键目标,就无法解决过度自动化或自动化不足的问题。
5.测试漏洞爆发
自动化安全测试的目的是使应用程序准备好进行任何可能的爆发或大规模攻击。在确定目标和战略的同时,重要的是使用正确的工具/框架来防止爆发。目前的情况对于任何应用程序都是可怕的,漏洞可能会从应用程序或外部应用程序中出现。开发自动化框架来测试任何此类的漏洞攻击可能是一个很好的做法。
自动化框架在一段时间内可以通过更好的测试用例来增强。因此,为企业/团队投资建立一个强大的安全测试框架是绝对值得的。
总结
最近的新闻报道发布说世界上最大的保险公司(劳埃德)受到网络攻击,该公司的损失为531亿美元到1,124亿美元之间。网络攻击和病毒威胁加强了每个行业对安全测试的需求。最佳做法是构建一个全面的自动安全测试策略,并确保您的关键业务应用程序。
本文译自: 
英文原文地址https://dzone.com/users/2938434/hirentanna.html