以前常常講,程式會動,就不要改
現今為追求安全,延伸為
「程式會動不代表安全。讓它邊跑、邊挑出風險。」
講到Day4 好像都還沒講到Sec,不知道的以為主題是DevOps
想像一下昨天把 index.html
跑起來,畫面正常、按鈕會動——這叫功能測試通過。但安全性測試要問的是:這頁面在惡意輸入、壞連結、舊套件、外洩金鑰的情況下,還安全嗎?
簡單講:能不能用 ≠ 用起來不會被打爆。
安全性測試會多做這些事(拿 index.html
當例子):
innerHTML
直接塞使用者輸入、eval()
之類的地雷。<img src=x onerror=alert(1)>
的惡意輸入,驗證會不會被 XSS。蝦~為啥出現這麼多專有名詞,開始偏資安了XDD
一句話總結:安全性測試是在「程式看起來能跑」之外,找出「攻擊者能從哪裡進來」。
接下來我們就把這些檢查接進 CI,讓每次 PR 自動幫你守門。
SAST / SCA / Secret / IaC / Container / DAST 一次看懂
eval
、innerHTML
)。package.json
/requirements.txt
、Maven/Gradle、Go modules;也能依 SBOM 掃。講到這個可以上網找找看用google hacking的方式,說不定能找到gpt的secret token?
(我只是提供這個想法:D
0.0.0.0/0:22
、S3/Blob 公開、過度權限、未加密、K8s 不安全能力(privileged
等)。plan
前先掃),合併前當硬門檻。說真的有沒有人覺得假日比較難產出?