iT邦幫忙

2023 iThome 鐵人賽

DAY 9
0

說明

自行開發的應用程式其弱點處理遠比其他弱點還困難,會受到開發團隊的能力及資源影響、會受使用的元件弱點影響、會受使用者需求影響,最後潛在的技術債成本會落在維護團隊,然後惡性循環,各種鬼故事層出不窮。

方式

常見的keyword有OWASP、SSDLC、DevSecOps以及最近SBOM,盡可能的做到Left-shift,規定好開發流程、盤點相關工具套件、盡可能讓弱點提早修改,其目的就是不要等到上線後才要修正,以避免鬼故事發生。

導了這些方案怎麼沒有改善,因為有了流程卻沒有Left-shift,為什麼沒有Left-shift,因為不夠資源做這些事,資安人員及資安工具於一開始就要進入開發流程,在自動化未完成前勢必會增加人力,不願意做的就當欠債,被追討時再補一下,一直輪迴。

靜態原始碼檢查搭配自動化,越早做效果越好,網頁弱掃是上線前最後一道把關,系統弱掃並不能取代網頁弱掃,其檢查測試的項目不足。

應用防火牆WAF是一個補償控制,主要防自動化攻擊腳本,人為是有可能繞過檢查。

統一規範也是很重要的一項,3組團隊3種開發平台,10個人10個開發方式,美其名讓成員用擅長的工具加速開發上線,事實就是疏於管理,造成維護難度,也導致修補完弱點的經驗無法回饋給其他人員。

在開發前規範好特殊字元限制、長度、輸入內容檢查以及加密,可以減少一半以上延伸的弱點問題。

結論

避免不良開發做法陷入技術債輪迴,疲於檢測及修補


上一篇
8. 弱點處理- 拾遺補缺
下一篇
10. 爬Telegram訊息當情資
系列文
珍惜生命,遠離資安 - 避免不良的資安作法,專注重要事項33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言