从SDLC到DevSecOps的转变

Posted 2023-03-01 CrissChan

OSSTMM

根据开源安全测试方法手册OSSTMM(Open Source Security Testing Methodology Manual)的表述，安全测试包括但不限于以下几种做法：漏洞扫描、安全扫描、渗透测试、风险评估、安全审核、\'道德’黑客，下面对几种常用方法进行概念介绍：

• 1 漏洞扫描：漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测行为。
• 2 安全扫描：安全扫描技术是指手工或使用特定的自动软件工具–安全扫描器，对系统风险进行评估，寻找可能对系统造成损害的安全问题。扫描主要涉及系统和网络两个方面，系统扫描侧重单个用户系统的平台安全性以及基于此平台的应用系统的安全，而网络扫描侧重于系统提供的网络应用和服务及相关的协议分析。
• 3 渗透测试：通过人工或自动的渗透测试方式对应用进行全面检测，并挖掘出应用源码中可能存在的安全风险、漏洞等问题。渗透测试能够帮助业务方直观的知道自己应用所面临的问题，帮助业务方了解并提高其应用开发程序的安全性，有效预防可能存在的安全风险。
• 4 风险评估：从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。
• 5 安全审核：内容安全审核已成为以短视频、新闻资讯，直播等平台优先级最高的运营需求，不管是通过人工审核还是以系统性的机器审核，都是以最安全与最适合产品