随着DevOps的发展,企业应用迭代的速度得到了大幅提升。但同时,安全如果不能跟上步伐,不仅会抵消DevOps变革带来的提升,拖慢企业数字化转型进程,还会导致漏洞与风险不约而至。年,Gartner提出了DevSecOps的理念,将安全防护流程有机地融入传统的DevOps流程中,为研发安全提供强有力保证,安全工具是支撑研发阶段安全要求落地的重要保障。
一、安全测试的重要性
在Forrester年发布的调查报告统计《TheStateOfApplicationSecurity,》中显示,在家全球企业已经确认的外部攻击中,针对Web应用程序是位于首位,占比39%,攻击Web应用程序主要指基于程序的SQL注入、跨站脚本或者远程文件包含攻击。针对软件漏洞攻击占比30%,主要指对于安全漏洞的利用攻击。
二、安全测试方法
安全测试是DevSecOps实践的关键部分,软件程序经过各种方法的测试以保证质量。安全测试是一个专业领域,拥有自己的一套工具和实践,旨在暴露这些漏洞。
安全测试工具分为两类:自动化安全测试工具和手工安全测试。而自动化安全测试工具现在市场细分已经非常完善,有诸如SAST、SCA等等工具。手工安全测试一般则指的是渗透测试。
三、AST工具
1.SAST简介
超过50%的安全漏洞是由错误的编码产生的,开发人员一般安全开发意识和安全开发技能不足,更加
