麻豆一区二区三区蜜桃免费_中文字幕Va一区二区三区 _国产成人综合久久二区_丰满多毛的大隂户毛茸茸_国产麻豆剧果冻传媒免费老狼_无码人妻精品一区二区三区久久久 _亚洲中文无码精品卡通_蜜臀亚洲AV永久无码精品老司机

安全 DevOps（DevSecOps）的目標(biāo)之一是在開(kāi)發(fā)過(guò)程之中建立安全測(cè)試。集成了自動(dòng)化功能的安全測(cè)試，讓開(kāi)發(fā)、QA 和安全團(tuán)隊(duì)能更簡(jiǎn)單地在不同的管道內(nèi)同步運(yùn)行，這使得安全測(cè)試成為測(cè)試堆棧的一部分，其頻率和集成度與單元、集成、兼容性和性能測(cè)試的相似。

自動(dòng)化測(cè)試：大規(guī)模且并行不悖

將動(dòng)態(tài)分析（DAST）與靜態(tài)分析（SAST）結(jié)合可實(shí)現(xiàn)更徹底的覆蓋，但動(dòng)態(tài)自動(dòng)化更為復(fù)雜。您可以建立自己的技術(shù)棧，或者直接借用已有的框架。使用其他企業(yè)作為 DevOps 實(shí)踐的一部分、已創(chuàng)建的測(cè)試自動(dòng)化腳本/框架，您可以大大加速自動(dòng)化進(jìn)程。

? 將 WebInspect 自動(dòng)化集成至現(xiàn)有的 DevOps 系統(tǒng)和流程，可支持同步并行、大規(guī)模的安全測(cè)試。

用于 WebInspect 的 Maven 插件

1) WebInspect 代理實(shí)例化；

2) 從集成測(cè)試中獲取流量；

3) 將代理流量保存為工作流宏（并關(guān)閉代理）；

4) 配置一個(gè)新的掃描；

5) 運(yùn)行該掃描。

WebInspect 自動(dòng)化——一般工作流

自動(dòng)化工作流程使用自動(dòng)化工具構(gòu)件，并通過(guò)以下步驟管理掃描生態(tài)系統(tǒng)：

A. 安全團(tuán)隊(duì)通過(guò)自動(dòng)化工具構(gòu)件將安全掃描步驟設(shè)置為“安全任務(wù)”，并在構(gòu)建和應(yīng)用部署后調(diào)用；

B. 開(kāi)發(fā)團(tuán)隊(duì)向自動(dòng)化工具構(gòu)件提交代碼變更，在預(yù)定操作期之后，安全任務(wù)將在構(gòu)建和應(yīng)用部署完成后被觸發(fā)；

C. 完成安全任務(wù)后，自動(dòng)化工具被設(shè)置為根據(jù)安全團(tuán)隊(duì)定義的安全風(fēng)險(xiǎn)來(lái)通過(guò)或構(gòu)建作業(yè)；

D. 安全漏洞發(fā)現(xiàn)被捕獲到 Fortify?SoftwareSecurity Center（SSC），從那里可以選擇通過(guò) SSC 上的集成將它們轉(zhuǎn)移到錯(cuò)誤庫(kù)。

圖 1. 基礎(chǔ)安全任務(wù)——WebInspect

基礎(chǔ)安全任務(wù)——WebInspect

1. 對(duì) WebInspect 傳感器進(jìn)行健康檢查，確保掃描儀可用于安排掃描；

2. 調(diào)用 WebInspect REST API/或命令行來(lái)啟動(dòng)掃描。這涉及傳遞必要 URL、設(shè)置文件和登錄信息；

3. 對(duì)傳感器進(jìn)行輪詢以檢查掃描的狀態(tài)，并在掃描完成后觸發(fā)下一個(gè)步驟；

4. 在掃描完成后，將結(jié)果作為 FPR 導(dǎo)出到包含 Fortify Client 的服務(wù)器，并通過(guò) Fortify Client 上傳至 SSC。

WebBreaker

通過(guò) GitHub 的 WebBreaker 工具解決動(dòng)態(tài)應(yīng)用安全測(cè)試協(xié)調(diào)（DASTO）問(wèn)題。這一開(kāi)源項(xiàng)目利用 WebInspect 實(shí)現(xiàn)了更大的敏捷性和靈活性，以為 SDLC 管道、Git 工作流等提供優(yōu)化集成。

圖 2. 基礎(chǔ)安全任務(wù)——ScanCentral

基礎(chǔ)安全任務(wù)——ScanCentral DAST

Fortify ScanCentral DAST 讓動(dòng)態(tài)安全掃描的協(xié)調(diào)和自動(dòng)化水平上升至新高度。它能有效操作數(shù)百、數(shù)千次掃描。WebInspect Enterprise 客戶可以直接遷移到該平臺(tái)，并能夠與 Fortify ScanCentral SAST 互操作。使用 ScanCentral 一次掃描多應(yīng)用的能力避免讓安全因素成為影響開(kāi)發(fā)速度的瓶頸。

代理和 QA 自動(dòng)化

自動(dòng)化功能可以使用 QA 功能測(cè)試產(chǎn)生的工件（如 Selenium 腳本來(lái)自動(dòng)進(jìn)行 WI 掃描），其優(yōu)點(diǎn)是：

A. 功能測(cè)試往往涉及到一連串操作，它們都有自相關(guān)的商業(yè)邏輯，但這不可能從盲目的 WebInspect 自動(dòng)抓取中獲取并建模；

B. 利用功能測(cè)試期間使用登錄序列，而非創(chuàng)建單獨(dú)的 WebInspect 登錄宏程序的可能性。這涉及配置設(shè)置、將登錄頁(yè)面從 WI 抓取或?qū)徲?jì)中排除，以及在安全掃描期間不發(fā)生注銷等。

圖 3.?QA 安全任務(wù)——WebInspect

QA 安全任務(wù)——WebInspect

在基礎(chǔ)安全任務(wù)——WebInspect 中添加這些步驟：

1. 通過(guò) REST API 啟動(dòng) WI 代理，并重放捕獲的 QA 工件以生成流量文件，將其保存為 WebMacro；

2. 使用命令行/REST API 修改默認(rèn)設(shè)置，設(shè)置文件將被從步驟 1 的流量文件中保存的工作流程宏覆蓋。

有用的自動(dòng)化索引

1. FoD BugTrackerUtility：完全自動(dòng)化的命令行工具，用于將 SSC 和 FoD 漏洞批量提交給各種外部系統(tǒng)。

2.?WebInspect APIs

3.?Fortify 相關(guān)工件的 Maven 資源庫(kù)

圖 4. QA 安全任務(wù)——ScanCentral DAST

QA 安全任務(wù)——ScanCentral DAST

1. 與 WI 的附加步驟相同。對(duì)于不能訪問(wèn) WI 桌面來(lái)啟動(dòng)代理的客戶，可以在 Fortify Marketplace 下載一個(gè)免許可證的代理實(shí)例；

2. 在創(chuàng)建設(shè)置文件后，啟動(dòng)掃描的過(guò)程涉及《創(chuàng)建掃描指南》中的其他步驟。

云端自動(dòng)化

另一用例是通過(guò)為 WI 部署傳感器在云中實(shí)現(xiàn)自動(dòng)化，并以正進(jìn)行的應(yīng)用安全測(cè)試的規(guī)模動(dòng)態(tài)擴(kuò)展傳感器的部署：

1. 安全團(tuán)隊(duì)訪問(wèn)掃描請(qǐng)求管道并確定 N 個(gè)傳感器的擴(kuò)展/縮減，并根據(jù)這一要求分配許可證；

2. 安全團(tuán)隊(duì)使用所描述的一般工作流，然后循環(huán)執(zhí)行步驟 1 和 2。

圖 5. 云安全任務(wù)——WebInspect 傳感器擴(kuò)展

云安全任務(wù)——WebInspect 傳感器擴(kuò)展

1. 將 WebInspect 安裝 MSI 放置于云存儲(chǔ)中并準(zhǔn)備部署；[調(diào)用位置：cloud_memory]

2. 安全團(tuán)隊(duì)調(diào)用云 API 來(lái)創(chuàng)建 Windows 實(shí)例，并使用該實(shí)例命令行 (C_Instance) 從 cloud_memory 進(jìn)行 WebInspect 傳感器無(wú)頭模式的安裝；

3. 將必要的設(shè)置和宏文件部署于該實(shí)例；

4. 在命令行（C_Instance）中使用該實(shí)例的 WebInspect 的 REST APIs 觸發(fā)掃描；

5. 掃描完成后，將結(jié)果作為 FPR 導(dǎo)出至包含 Fortify Client 的服務(wù)器，并通過(guò) Fortify Client 上傳至 SSC。

圖 6. 云端安全任務(wù)——ScanCentral DAST 傳感器調(diào)整規(guī)模

云端安全任務(wù)——ScanCentral DAST 傳感器調(diào)整規(guī)模

ScanCentral DAST 是一個(gè)可擴(kuò)展的架構(gòu)，通過(guò)多個(gè)容器化 WebInspect 版本（被稱為“傳感器”）來(lái)實(shí)現(xiàn)水平擴(kuò)展，可以并行處理 JavaScript、DOM 渲染和其他活動(dòng)。橫向擴(kuò)展可大大減少掃描時(shí)間而不需要永久投入資源。因此，ScanCentral DAST 可以在極小時(shí)間內(nèi)掃描相當(dāng)大的應(yīng)用，這使得整合至 CI/CD 管道和左移成為可能。SSC 可加載至應(yīng)用、調(diào)度掃描，并設(shè)置掃描參數(shù)限制。所有這些都是通過(guò)容器化部署完成的，讓你能從此擁有多個(gè)傳感器。

（文章來(lái)源公眾號(hào)：MicroFocus）

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

關(guān)于億道電子

上海億道電子技術(shù)有限公司是國(guó)內(nèi)資深的研發(fā)工具軟件提供商，公司成立于2009年，面向中國(guó)廣大的制造業(yè)客戶提供研發(fā)、設(shè)計(jì)、管理過(guò)程中使用的各種軟件開(kāi)發(fā)工具，致力于幫助客戶提高研發(fā)管理效率、縮短產(chǎn)品設(shè)計(jì)周期，提升產(chǎn)品可靠性。

十多年來(lái)，先后與ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立戰(zhàn)略合作伙伴關(guān)系，并作為他們?cè)谥袊?guó)區(qū)的主要分銷合作伙伴服務(wù)了數(shù)千家中國(guó)本土客戶，為客戶提供從芯片級(jí)開(kāi)發(fā)工具、EDA設(shè)計(jì)工具、軟件編譯以及測(cè)試工具、結(jié)構(gòu)設(shè)計(jì)工具、仿真工具、電氣設(shè)計(jì)工具、以及嵌入式GUI工具等等。億道電子憑借多年的經(jīng)驗(yàn)積累，真正的幫助客戶實(shí)現(xiàn)了讓研發(fā)更簡(jiǎn)單、更可靠、更高效的目標(biāo)。

歡迎關(guān)注“億道電子”公眾號(hào)

了解更多研發(fā)工具軟件知識(shí)