Vulnerability is a weakness that can be exploited by a threat.
Vulnerability management is the process of finding and patching vulnerabilities.
定義:發現並修補脆弱性的過程。
重要性:幫助保持資產安全,防止威脅成為問題。
四個步驟 + 1:
持續性循環 (Cycle):
當步驟結束後,過程重新開始。Vulnerability management happens in a cycle.
零日漏洞 (Zero-Day Exploits):
多樣化的團隊 (Diverse Teams):
項目 | 內容 |
---|---|
安全性優勢 | 自動化安全檢查(如DAST/Dynamic Application Security Testing (DAST) SQL 注入、跨站腳本 (XSS:合規性檢查)檢測運行中應用程式的漏洞。提高安全性。 |
安全性優勢 | Security Compliance Checks:自動檢查以確保軟體符合組織的安全規範和政策。 |
安全性優勢 | Infrastructure Security Validations:基礎設施安全驗證:確保托管您軟體的系統是安全的檢查措施。 |
加快安全更新的發布速度,促進團隊合作。 | |
常見漏洞 | Insecure Dependencies: 第三方庫的漏洞。Common Vulnerabilities and Exposures, or CVEs |
Misconfigured Permissions: 不當的訪問控制。Role-Based Access Control (RBAC) | |
Lack of Automated Security Testing: 缺乏自動化安全測試。 | |
Exposed Secrets: hardcode敏感信息。 | |
Unsecured Build Environments: 不安全的構建環境。 | |
最佳實踐 | 融入安全流程(DevSecOps)從開發到部署的每個階段。 |
實施強有力的訪問控制(如RBAC)。 | |
自動化安全測試(SAST、DAST等)。 | |
定期更新第三方依賴項,使用專用的秘密管理工具。 |
脆弱點 | 問題描述 | 行動步驟 |
---|---|---|
不安全的依賴項Insecure Dependencies | 使用的第三方庫和組件可能導致已知漏洞。 | 定期掃描並更新依賴項,確保使用安全版本。 |
配置錯誤的權限Misconfigured Permissions | 弱訪問控制可能使未授權訪問成為可能。 | 實施基於角色的訪問控制(RBAC)。 |
缺少自動化安全測試Lack of Automated Security Testing | 未實施自動化安全測試將導致上線後的漏洞檢測不足。 | 集成自動化安全測試(SAST 和 DAST)到管道中。 |
暴露的秘密Exposed Secrets | hardcode敏感數據將造成安全漏洞。 | 使用安全保管庫或專用的秘密管理工具來存儲敏感信息。 |
不安全的構建環境Unsecured Build Environments | CI/CD 環境不安全將導致攻擊風險。 | 加固構建環境,使用安全容器或虛擬機以減少風險。 |
事項 | |
---|---|
Integrate Security from the Start | 在開發的每個階段嵌入安全性檢查。(DevSecOps) 是「Development(開發)」、「Security(安全)」與「Operations(運維)」的縮寫結合,代表一種將安全性無縫整合到軟體開發生命週期(Software Development Lifecycle, SDLC)中的文化、實踐與方法論 |
Implement Strong Access Controls | 設定嚴格的訪問控制,使用MFA和RBAC。 |
Automate Security Testing Everywhere | 自動化安全掃描和測試是構建和部署過程的基本部分。Static Application Security Testing」用於在應用程式的早期開發階段檢測源代碼中的漏洞與安全問題,透過分析應用程式的源代碼、二進制檔或者物件檔,而不需要實際執行程式 |
Keep Dependencies Updated | Regularly update these components to patch security vulnerabilities (CVEs).定期更新第三方依賴,使用工具如Dependabot和Snyk。 |
Secure Secrets Management | 不硬編碼敏感信息,使用專用的秘密管理工具 HashiCorp Vault or AWS Secrets Manager. 。 |