李相垚-基于devops基礎設施的web漏洞掃描實踐（16頁）.pdf

《李相垚-基于devops基礎設施的web漏洞掃描實踐（16頁）.pdf》由會員分享，可在線閱讀，更多相關《李相垚-基于devops基礎設施的web漏洞掃描實踐（16頁）.pdf（16頁珍藏版）》請在三個皮匠報告上搜索。

1、云原生安全：基于 DevOps 基礎設施的 Web 漏洞掃描實踐李相垚2021.05.14李相垚騰訊安全平臺部漏洞掃描產品負責人互聯網行業處處是“高效”某社交APP更新日志研發模式的升級令產品迭代愈加頻繁瀑布模型敏捷模型DevOps 模型 速度越來越“快”，安全怎么辦新的安全理念誕生 DevSecOps 高度自動化 所有角色共同參與 人工成本高 由安全團隊負責上線前漏洞掃描是 DevSecOps 重要一環應用漏洞掃描靜態安全測試SAST動態安全測試DAST交互式安全測試IAST漏洞發現時機早修復效率高掃描的范圍全面上線前掃描為什么重要？掃描模式參與者耗時優勢缺點上線前漏洞掃描實施方式 從主動到

2、被動逐條逐條掃描掃描爬蟲爬蟲瀏覽器瀏覽器插件插件被動被動掃描掃描單條提交安全1-3d能用收集成本高爬蟲測試/安全1d只需提供入口地址爬蟲能力是瓶頸瀏覽器插件測試/安全0.5h-2h全面+自動只適用于前端部分測試被動掃描測試0.5h-2h實時掃描有一定部署成本被動式掃描在資產覆蓋和易用性上優勢巨大 資產收集：業務測試覆蓋度=網站資產覆蓋度 實施成本：旁路采集，侵入性低研發/測試辦公電腦目標網站瀏覽器插件流量轉發模塊 執行效果：80%+業務使用 nginx 插件接入，60%+漏洞由被動掃描發現被動式掃描不斷遭受業務挑戰01部署成本偏高02測試環境負載不穩定03測試環境寫入臟數據04影響開發人員調試

3、掃描集群被動式掃描不斷遭受業務挑戰研發/測試辦公電腦目標網站 核心矛盾：爭搶環境，無法調和沖突點測試環境擴容接口加白便捷地停掃入口業務全面“上云”，注重研效提升技術變革業務上云研效提升標準化部署標準化部署容器化技術容器化技術自動化流程自動化流程安全變革的機會云原生被動式掃描方案 有效地采集流量 矛盾點：流量采集難 Pods（容器內）Services（集群路由）Ingress（外部訪問網關）Ingress 使用覆蓋度業務應用侵入性https 解密流量 核心優勢：借助云原生基礎設施，節省流量采集開發&維護工作云原生被動式掃描方案 “專屬”掃描環境 矛盾點：環境爭搶TKE-快速擴容-環境復制 建立掃描專用環境 環境創建時機 環境一致性 核心優勢：借助云原生基礎設施，快速獲得獨立的業務環境關鍵點云原生被動式掃描方案 還能做些什么 提升掃描效率 探索 IAST合理擴容提升掃描速度獨立環境部署監聽程序Thank you