在本文中,我将讨論軟體開發生命周期 (SDLC)、DevSecOps、SAST、DAST 和 IAST 的概念。
01 Software Development Life Cycle (SDLC)
軟體開發生命周期 (SDLC) 是軟體開發組織用來規劃、設計、建構、測試和傳遞軟體的過程。 它包括規劃、分析、設計、實施、測試、部署和維護等多個階段。 SDLC 中涉及的具體步驟可能會因所使用的具體方法(例如靈活、瀑布或 Scrum)而異。
軟體開發生命周期 (SDLC) 是概述建立軟體所涉及步驟的過程。SDLC 的主要步驟包括:
1、規劃:此階段涉及确定軟體的業務需求、定義項目範圍和建立項目計劃。
2、分析:在這個階段,收集和分析軟體的需求。 這包括确定軟體的使用者需求和功能要求。
3、設計:在此階段,建立軟體設計。 這包括為軟體開發詳細的技術設計和建立使用者界面設計。
4、實施:此階段涉及編寫軟體代碼。 這可能包括為軟體的各個元件編寫代碼并将它們內建在一起。
5、測試:在此階段,對軟體進行測試以確定其正常工作并滿足定義的要求。 這可能包括單元測試、內建測試和驗收測試。
6、部署:此階段涉及在預期的目标系統上安裝軟體并使其可供使用。
7、維護:部署軟體後,可能需要持續維護以修複錯誤、添加新功能并使其保持最新狀态。
02 DevSecOps
DevSecOps 是一種旨在将安全措施內建到軟體開發過程中的實踐。它強調開發、安全和營運團隊之間的協作,以便更有效地建構和部署安全軟體。
DevSecOps 是一組實踐和方法,旨在将安全性內建到從設計到部署的軟體開發過程中。DevSecOps 的主要步驟包括:
1、持續內建 (CI) 和持續傳遞 (CD):這些實踐使開發人員能夠頻繁自動地建構、測試和部署軟體變更。
2、自動化:自動化是 DevSecOps 成功的關鍵,因為它允許開發人員更快、更高效地測試和部署代碼變更。這可以包括自動化安全測試、代碼審查和部署等過程。
3、協作:DevSecOps 需要開發人員、安全專業人員和營運團隊之間的密切協作。這包括共享資訊、将安全測試內建到開發過程中以及共同解決問題。
4、文化:DevSecOps 需要組織中的文化轉變,因為它需要傳統上可能在孤島中工作的團隊之間的協作和內建。
5、名額:DevSecOps 依賴于資料驅動的決策制定,是以制定可靠的名額來跟蹤安全實踐的有效性并确定需要改進的領域非常重要。
03 應用程式安全測試
SAST (Static Application Security Testing) :
SAST(靜态應用程式安全測試)是一種分析軟體應用程式的源代碼以識别潛在的漏洞的安全測試。它通常在開發過程的早期執行,在代碼被編譯和部署之前。
DAST (Dynamic Application Security Testing) :
DAST(動态應用程式安全測試)是一種運作應用程式并在執行時測試它是否存在漏洞的安全測試。它通常在應用程式部署後執行,以識别在開發或部署期間可能引入的任何漏洞。
IAST (Interactive Application Security Testing) :
IAST(互動式應用程式安全測試)是一種結合了靜态和動态測試技術的安全測試。它涉及分析應用程式的源代碼以及執行代碼以識别漏洞。IAST 工具通常會在開發或使用應用程式時提供有關應用程式安全性的實時回報。
DAST 和 SAST 之間有什麼差別?
DAST 和SAST 是兩種用于識别軟體應用程式中安全漏洞的技術。DAST 在應用程式運作并與系統互動時對其進行分析。DAST 可以識别使用其他方法難以發現的漏洞,例如注入攻擊、跨站點腳本 (XSS) 和不安全的通信。這些工具對于識别 Web 應用程式中的漏洞特别有用,因為它們可以模拟來自外部對應用程式的攻擊。
另一方面,SAST 通過分析應用程式的源代碼來識别漏洞。SAST 可用于識别代碼本身存在的漏洞,例如不安全的編碼實踐和敏感資料的不正确處理。SAST 可用于分析以各種程式設計語言(包括 C、C++、Java 和 Python)編寫的代碼。
IAST 和 SAST 之間有什麼差別?
IAST 結合了 DAST 和 SAST(靜态應用程式安全測試)工具的功能。IAST 通過将代理注入應用程式的運作時環境并在應用程式運作時監視應用程式的行為來執行檢測。這使得 IAST 工具能夠實時識别漏洞并提供有關漏洞的詳細資訊,包括易受攻擊的特定代碼行。
參考及來源:
https://infosecwriteups.com/software-development-lifecycle-sdlc-devsecops-sast-dast-and-iast-concepts-373491398585