我知道这是一个模糊的问题,但我正在寻找关于团队如何将安全性与持续交付/部署集成的博客或信息.我们每天多次部署到AWS,我正在寻找团队为流量添加安全性的一些方法.

我看过一个团队使用黄瓜做一些nmap测试的演示文稿,这不是我正在寻找的东西,但是一旦他们在进入负载均衡器接受流量之前部署了app节点,就可能进行一些自动化测试.

最佳答案 这可能不是您正在寻找的,但有效安全测试的关键是在设计时,实现等将其构建到产品中.编码安全测试就像您在应用程序的所有级别进行单元测试一样.使用这种方法,安全测试与一般应用程序测试没有什么不同.

预打包的安全测试很好,您应该使用它们(大多数组织在QA检查之前执行此操作),但它们不如您的内置测试有效.这是因为没有人像你的开发者那样知道安全“危险区域”(或者至少他们应该知道.如果他们没有他们读书.对于网络应用程序我强烈推荐“The Web Application Hacker’s Handbook,”和其他应用程序我推荐“Secure Coding in C and C++” by Robert Seacord,甚至如果你不做C/C++.如果你能等,可以在四月份推出2nd Edition of Seacord’s book).

除非在设计时考虑,否则安全性永远不会有效.如果您已经搞砸了,请尝试将安全测试集成到您的常规应用测试中.

编辑：

一些伟大的预装扫描仪(一些免费语音,其他免费啤酒,其他一些不是免费的)可以针对您的网络应用程序运行(无特定顺序).这些将找到常见和现有的漏洞,但不会找到您的Web应用程序的独特漏洞：

> Nessus
> OpenVAS
> Nikto
> Acunetix
> Burp Suite
> W3af
> Retina
> Nexpose