Post on 13-Jan-2017
從持續整合結合安全開發與變更管理
報告人:郭俐佳 經理
日 期:2016.4.20
1
案號:H1040039245
2
需求/變更
程式開發 編繹 測試 發佈
問題回饋重構/
解bug
什麼是持續整合
3
功能/單元
需求/變更
程式開發 編繹 測試 發佈
問題回饋重構/
解bug
什麼是持續整合
4
Checkmarx
Borland
GSS
Andromeda
Jenkins CI
測試
安全
安全程式碼檢查 – Checkmarx, etc.
效能
壓力測試-Borland Silk Performer, Jmeter, etc.
功能
功能測試- Borland Silk Test, Borland Silk Mobile, etc.
5
測試
安全
安全程式碼檢查 – Checkmarx, etc.
效能
壓力測試-Borland Silk Performer, Jmeter, etc.
功能
功能測試- Borland Silk Test, Borland Silk Mobile, etc.
6
7
內建自動化簽出源碼的檢測工具
8
廠商/開發團隊
交付源碼
專家檢視
及規則調整 提供報表
統計資料
檢查版本差異
完整的管理功能
版本管理
問題確認
源碼檢測- UpdateProfile.java
10
如何得知本次修改影響了什麼功能!?
11
綜觀功能與程式碼間的相依關聯
12
追蹤影響範圍
13
修改此弱點程式,呼叫到該程式的其他程式應該要進一步檢核是否需要配合修改
追蹤影響範圍
14
修改此弱點影響的功能項目,這些功能項目應該進行迴歸測試
修改此弱點程式,呼叫到該程式的其他程式應該要進一步檢核是否需要配合修改
安全程式碼檢查執行時機!?
以前總說「上線前檢查」就好了!!
15
軟體安全的挑戰
開發人員不是資安專家
資安團隊在SDLC太晚期才發現問題
16
% Bugs introduced in this phase
% Bugs found in this phase
$ Cost to repair bug in this phase
$16,000
$1,000
$100
$250
$25
85%
Pe
rcen
tage
of B
ug
s and
Flaws
Code Build Test Release
SAST PENTEST
不以規矩,不成方圓
17
開發流程與規範
18
開發符合 安全標準的程式
範例: 1. 不能有高風險的OWASP TOP 10弱點 2. 不能有高風險的Injection 弱點
資安團隊
訂出程式 安全標準
開發團隊
開發 安全程式
測試團隊
進行 安全測試
資安團隊
確認符合 安全標準
設計 開發 測試 上線
功欲善其事,必先利其器
19
Thanks
20
Q&A
21