超级会员免费看
应用安全即服务:构建安全的软件开发生态系统
1. 安全测试 API 服务
安全测试 API 向开发团队开放,若配置了相关信息,它会接收 URL 和凭证。调用该 API 后,应用安全团队开发的一系列编码服务将启动,进行 TLS 测试、模糊测试和动态应用安全测试(DAST)扫描。三项测试完成后,会向调用函数返回一份报告,提供工具的基本输出结果。
由于这个单一 API 功能强大,开发团队应鼓励开发人员在代码提交前尽早且频繁地运行此扫描。此外,该服务还可在非生产环境或生产部署前的构建过程中调用。不过,使用此类服务时需考虑运行时间,根据其要完成的任务和应用程序的大小,该服务可能需要较长时间才能运行完毕。这也表明它不会取代软件开发生命周期(SDLC)中的其他工具,而是对其进行补充,让我们更好地了解所开发应用程序的安全性。
通常,这些服务可通过作为整体应用安全 Web 生态系统一部分的 API 访问。组织的文档库中可能已有一个着陆页,也可能是应用安全团队托管的独立网站。无论如何,应用安全团队可以通过多种方式托管和管理 API 集,并应在需要时借助整个工程组织的支持来创建相关服务。然而,应用安全团队还可以创建和管理一些不通过 API 访问的服务。
2. 通过票务请求的服务
API 是一种以自动化方式获取相对快速安全服务的好方法。但有些事情无法自动化,或者需要应用安全团队付出更多努力才能提供足够的帮助。例如,安全代码审查虽然有工具可用于代码审查,而且通常可以在组织运行的源代码管理(SCM)工具中进行,但这至少在目前仍需要安全专家的手动操作。
为了使这种服务模式有效运行,应用安全团队应使用像 Jira 或 Bugzilla 这样的票务系
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
