作者:京东物流 陈维
一、引言
那么安全测试则是一个寻找系统潜在安全问题的过程,通过测试手段发现系统中可能存在的安全问题和风险,分析并进行优化,保障系统的安全质量。
本文我们将以围绕系统安全质量提升为目标,讲述在安全前置扫描上实践开展过程。
二、安全前置实践
1.工单分析-明确来源
(1)漏洞来源分析
漏洞占比分布:
这两类主要为编译时,平台自动调用安全部代码扫描接口发起的扫描;
规则,则形成漏洞工单下发研发。
白盒漏洞分布:
即:所有在jdos上进行部署的分支都会进行扫描,扫描出的问题都是工单的产生来源。
JSRC类分析:
(2)形成预防措施
1.开展前置扫描。在行云部署编译之前,主动发起安全前置扫描,避免遗漏到线上。并且统一代码安全扫描规则,避免内部扫描过代码仍存在代码扫描类漏洞。
安全质量卡控。研发测试落实代码安全扫描,安全扫描作为上线必备环节,触发形成自动扫描,漏出问题修复后才可进行上线编译。
开展渗透测试。针对外网系统和内网敏感系统已上线系统开展渗透测试,新需求接入安全SDL安全研发生命周期进行管理。
前置扫描-解决存量
(1)代码白盒扫描
①基于流水线源代码安全审计原子的master分支扫描
触发条件:码提交触发、定时触发
问题跟进:人工查看报告-漏洞分类整理-下发任务至研发
能有效地覆盖master分支的扫描,但是存在的问题是:
如需新增覆盖分支,则需新建流水线,耗时不变;
②活跃分支的预防扫描
仅进行master分支扫描,不能完全预防白盒漏洞问题。
识别活跃分支:
总结:
(2)应用黑盒扫描
Step1:获取域名基于域名、解析IP的黑盒扫描。
(3)提效工具开发
问题:白盒&黑盒扫描,包含【提交任务-获取结果-漏洞整理-问题下发】的实施步骤,过程中,纯手工操作:时
方案:基于开放接口实现批量提交任务-获取结果-报告整理工具
收益:
覆盖率提升:master分支->近两周活跃分支+master分支,扫描覆盖率100%,发现更多问题,避免遗漏。
漏洞修复-闭环跟踪
(1)基于行云缺陷跟踪处理
•以应用对应的代码库为维度,进行安全漏洞扫描;
•每次扫描出的结果会在行云上记录一个问题,反馈到研发接口人,由研发接口人分配到具体研发;
总结:
•过程不精细;
(2)基于任务批量管理平台进行下发
通过OE接口人(或OE接口)进行批量下发任务;
(3)安全流程建设
•每周测试接口人、研发接口人,组织会议对本周安全工单、漏洞问题进行复盘;
•每周安全测试周报;每月安全测试月报;
1.浅析漏洞
(1)扫描原理-污点分析
在不考虑隐式信息流的情况下,可以将污点分析看做针对污点数据的数据流分析。根据污点传播规则跟踪污点信息或者标记路径上的变量污染情况,进而检查污点信息是否影响敏感操作。
考虑隐式信息流,在分析过程中,根据程序中的语句或者指令之间的依赖关系,检查 Sink 点处敏感操作是否依赖于 Source 点处接收污点信息的操作。
参考资料:https://firmianay.gitbooks.io/ctf-all-in-one/content/doc/5.5_taint_analysis.html#基本原理
三、总结
首先对漏洞工单进行了分析,确定了漏洞的来源、种类、分布,摸清了漏洞的现阶段情况。
但需注意:除了解决存量漏洞问题,还需要新增类问题,需要持续不断地建设,需要实现安全测试的常态化运行。并且要利用更多自动化工具,去进行提效。