保护脆弱的Devops.

敏捷原则:必须在开发安全软件

大多数业务都采用了敏捷原则作为最佳实践,以便快速生产成本效益的软件。今天,当今世界的巨大数量的网络犯罪产生安全应用对于您的业务至关重要。将安全性带给敏捷原则,然后是必须在开发安全软件方面的必要条件。在本文中,我们将在敏捷时讨论pentesting。

敏捷是一系列原则,帮助团队在整个生产过程中仍然灵活,通过微型专注于应用程序开发生命周期的所有方面。为了能够使用敏捷原理构建安全应用程序,必须考虑安全性&与原则一起注册。在敏捷时完成更安全的应用程序的最简单方法是早期将安全性高度优先。通过这样做,您的敏捷原则反映了安全性,可确保通过申请的每个阶段考虑安全措施。 OWASP的一个很好的建议是创建基于风险和安全性的故事。

“在积压中创建一个邪恶的用户故事。

示例#1。作为黑客,我可以在URL中发送坏数据,因此我可以访问我的数据和函数’m not authorized.

示例#2。作为黑客,我可以在请求的内容中发送错误的数据,因此我可以访问我的数据和函数’m not authorized.

示例#3。作为黑客,我可以在HTTP标头中发送坏数据,因此我可以访问我的数据和函数’m not authorized.

示例#4。作为黑客,我可以读取甚至修改应用程序输入和输出的所有数据。“

这些类型的用户故事由敏捷团队成员使用计划和开发应用程序,这有助于确保在整个开发过程中考虑安全性。请记住,敏捷原则的核心是灵活性。这种灵活性是允许沿着项目的快速移动的灵活性。如果在应用程序的阶段添加了输入字段,则具有执行一些添加的安全测试的灵活性。让开发人员采用主动测量并执行简单的模糊测试,以帮助验证输入字段中的正确数据处理。通过使开发人员进行一些简单的安全测试,并将其持有对安全设计负责,该项目将通过更多的安全性将受益于早期的安全性,这相当于在开发生命周期后稍后花费较少的时间。

恭喜您已将其转换为Sprint的结束,执行代码审查,现在您的应用程序已移动到安全开发生命周期的验证阶段!现在是时候进行渗透测试了。在渗透测试期间,专家利用各种工具和技术来动态测量应用潜在的弱点。这些弱点如果离开,可以通过现实世界攻击者利用来损害您的应用程序。根据应用中发现的潜在弱点的严重程度,漏洞可能会在您的网络中提供立足点进行攻击。潜在的传染媒介可以允许攻击者通过网络枢转,损害更多的数据,而不是应用程序本身中包含的数据,这在近似的情况下。由于这些可怕的结果,它绝对关键您今天在应用程序开发生命周期中执行渗透测试。

然后,渗透测试的结果应由渗透测试仪辅助的开发人员审查,以充分了解问题,并努力解决调查结果。在采用适当的变化之后,已经从第一个Pentest修复了发现,应进行第二个测试以验证在部署申请之前不存在风险。

如果您在项目开头突出显示安全性,您的安全性可以作为软件开发的安全性。拥抱安全的开发生命周期,以及改变发展和安全性的灵活性。通过减少攻击表面区域,确保申请风险最小,请记住您添加的每个功能都会创造额外的风险。测试,测试和重新测试申请,直到它符合所有需求。如果你已经说过“嘿这个东西需要安全”,那么安全是你的团队必须在满足冲刺之前解决的一个点。