测试安全漏洞

Large-scaleInternetAutomatedSecurityTesting大型互联网自动化安全测试woyiguiWeibo.
com:@淘宝王挺工作:淘宝需要做到如下几点:降低线上漏洞提高效率降低人员投入成本自动化安全测试的目标和价值依靠工具手工测试关键字式的静态扫描传统安全测试的方法蜘蛛式扫描方式优缺点&期望自动化安全测试方法白盒自动化黑盒自动化如何实现白盒自动化扫描修复7步走白盒测试Tips:当你把安全框架、规范、缺陷与开发流程打通,就降低了沟通成本:安全框架安全代码开发规范误报库匹配基于安全框架规则扫描修复完成通知开发自动代码验证几个小问题白盒测试Tips2:误报率如何解决(误报库的建立,用体力换取精确);Tips1:根据不同公司的情况,建立自定义安全框架:Tips5:建立安全测试平台,将项目测试提交、漏洞管理等所有环节打通:Tips4:适时代码变更监控,自动缺陷验证:Tips3:当扫描漏洞后,直接漏洞通知到开发,减少沟通成本:黑盒自动化测试框架(图)黑盒测试日志收集基于TimeTunnel,将所有服务器apapche等日志收集到Hadoop集群数据存储基于Hadoop,离线存储Apache、Nginx日志日志提取基于HIVE,适时提取新增的日志,并存储至本地漏洞扫描缺陷管理基于java开发漏洞检测工具,适时对新增的产品进行Fuzzing基于淘宝缺陷管理平台,当发现漏洞后自动通知开发,并实现自动验证.
一此资料黑盒测试日志收集TimeTunnel,http://code.
taobao.
org/p/TimeTunnel/src/数据存储Hadoop,http://hadoop.
apache.
org/日志提取HIVE,http://hive.
apache.
org/漏洞扫描缺陷管理自己公司开发的定制化检测工具Bugzilla、BugFree等,有集成消息通知更好.
黑盒测试优点发现蜘蛛、手工无法发现的API接口支持未知产品监控支持实时性扫描缺点无法扫描业务安全漏洞无法检测API一次性失效的接口无法检测逻辑引起的问题节省人工成本支持大量产品同时测试结合测试环境,及早发现几个小问题黑盒测试Tips2:如何解决post数据的问题;Tips1:如何解决身份验证的问题:Tips4:如何解决Hosts绑定的问题:Tips3:如何尽早解决漏洞遗漏到线上:自动化安全测试方法的期望黑盒扫描白盒扫描规则更新流程优化平台建设缺陷管理平台建设集项目流程、缺陷管理于一体的管理平台黑盒扫描白盒扫描集不同语种的基于安全规范自动化代码检查规则更新缺陷管理流程优化通过黑白组合映射关系,以及新型漏洞的更新消息通知、状态提醒、角色控制多维度优化操作流程,节省开发、安全人员介入成本基于大数据、大产品的多维度自动测试工具产品展示如何更自动,如何更安全.
解放繁重的工作,需要你我共同交流学习!
还有什么Question