從持續整合結合安全開發與變更管理

報告人：郭俐佳 經理

日 期：2016.4.20

1

案號：H1040039245

2

需求/變更

程式開發 編繹 測試 發佈

問題回饋重構/

解bug

什麼是持續整合

3

功能/單元

需求/變更

程式開發 編繹 測試 發佈

問題回饋重構/

解bug

什麼是持續整合

4

Checkmarx

Borland

GSS

Andromeda

Jenkins CI

測試

安全

安全程式碼檢查 – Checkmarx, etc.

效能

壓力測試-Borland Silk Performer, Jmeter, etc.

功能

功能測試- Borland Silk Test, Borland Silk Mobile, etc.

5

測試

安全

安全程式碼檢查 – Checkmarx, etc.

效能

壓力測試-Borland Silk Performer, Jmeter, etc.

功能

功能測試- Borland Silk Test, Borland Silk Mobile, etc.

6

7

內建自動化簽出源碼的檢測工具

8

廠商/開發團隊

交付源碼

專家檢視

及規則調整 提供報表

統計資料

檢查版本差異

完整的管理功能

版本管理

問題確認

源碼檢測- UpdateProfile.java

10

如何得知本次修改影響了什麼功能!?

11

綜觀功能與程式碼間的相依關聯

12

追蹤影響範圍

13

修改此弱點程式，呼叫到該程式的其他程式應該要進一步檢核是否需要配合修改

追蹤影響範圍

14

修改此弱點影響的功能項目，這些功能項目應該進行迴歸測試

修改此弱點程式，呼叫到該程式的其他程式應該要進一步檢核是否需要配合修改

安全程式碼檢查執行時機!?

以前總說「上線前檢查」就好了!!

15

軟體安全的挑戰

開發人員不是資安專家

資安團隊在SDLC太晚期才發現問題

16

% Bugs introduced in this phase

% Bugs found in this phase

$ Cost to repair bug in this phase

$16,000

$1,000

$100

$250

$25

85%

Pe

rcen

tage

of B

ug

s and

Flaws

Code Build Test Release

SAST PENTEST

不以規矩，不成方圓

17

開發流程與規範

18

開發符合 安全標準的程式

範例: 1. 不能有高風險的OWASP TOP 10弱點 2. 不能有高風險的Injection 弱點

資安團隊

訂出程式 安全標準

開發團隊

開發 安全程式

測試團隊

進行 安全測試

資安團隊

確認符合 安全標準

設計 開發 測試 上線

功欲善其事，必先利其器

19

Thanks

20

Q&A

21