O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

系統05_從持續整合結合安全開發與變更管理 郭俐佳

系統05_從持續整合結合安全開發與變更管理【郭俐佳】

  • Entre para ver os comentários

  • Seja a primeira pessoa a gostar disto

系統05_從持續整合結合安全開發與變更管理 郭俐佳

  1. 1. 從持續整合結合安 全開發與變更管理 報告人:郭俐佳 經理 日 期:2016.4.20 1 案號:H1040039245
  2. 2. 2
  3. 3. 需求/變更 程式開發 編繹 測試 發佈 問題回饋 重構/ 解bug 什麼是持續整合 3 功能/單元
  4. 4. 需求/變更 程式開發 編繹 測試 發佈 問題回饋 重構/ 解bug 什麼是持續整合 4 Checkmarx Borland GSS Andromeda Jenkins CI
  5. 5. 測試  安全  安全程式碼檢查 – Checkmarx, etc.  效能  壓力測試-Borland Silk Performer, Jmeter, etc.  功能  功能測試- Borland Silk Test, Borland Silk Mobile, etc. 5
  6. 6. 測試  安全  安全程式碼檢查 – Checkmarx, etc.  效能  壓力測試-Borland Silk Performer, Jmeter, etc.  功能  功能測試- Borland Silk Test, Borland Silk Mobile, etc. 6
  7. 7. 7
  8. 8. 內建自動化簽出源碼的檢測工具 8 廠商/開發團隊 交付源碼 專家檢視 及規則調整 提供報表 統計資料 檢查版本差異 完整的管理功能 版本管理 問題確認
  9. 9. 源碼檢測- UpdateProfile.java 10
  10. 10. 如何得知本次修改 影響了什麼功能!? 11
  11. 11. 綜觀功能與程式碼間的相依關聯 12
  12. 12. 追蹤影響範圍 13 修改此弱點程式,呼 叫到該程式的其他程 式應該要進一步檢核 是否需要配合修改
  13. 13. 追蹤影響範圍 14 修改此弱點影響 的功能項目,這 些功能項目應該 進行迴歸測試 修改此弱點程式,呼 叫到該程式的其他程 式應該要進一步檢核 是否需要配合修改
  14. 14. 安全程式碼檢查執行時機!?  以前總說「上線前檢查」就好了!! 15
  15. 15. 軟體安全的挑戰  開發人員不是資安專家  資安團隊在SDLC太晚期才發現問題 16 % Bugs introduced in this phase % Bugs found in this phase $ Cost to repair bug in this phase $16,000 $1,000 $100 $250 $25 85% PercentageofBugsandFlaws Code Build Test Release SAST PENTEST
  16. 16. 不以規矩,不成方圓 17
  17. 17. 開發流程與規範 18 開發符合 安全標準的程式 範例: 1. 不能有高風險的OWASP TOP 10弱點 2. 不能有高風險的Injection 弱點 資安團隊 訂出程式 安全標準 開發團隊 開發 安全程式 測試團隊 進行 安全測試 資安團隊 確認符合 安全標準 設計 開發 測試 上線
  18. 18.  功欲善其事,必先利其器 19
  19. 19. Thanks 20
  20. 20. Q&A 21

×