DevSecOps ၏ကြောက်ရွံ့ခြင်းနှင့် ရွံရှာခြင်း။

ကျွန်ုပ်တို့တွင် ကုဒ်ခွဲခြမ်းစိတ်ဖြာသူ 2 ခု၊ တက်ကြွသောစမ်းသပ်ခြင်းကိရိယာ 4 ခု၊ ကျွန်ုပ်တို့၏ကိုယ်ပိုင်လက်ရာများနှင့် ဇာတ်ညွှန်းပေါင်း 250 ရှိသည်။ လက်ရှိလုပ်ငန်းစဉ်တွင် ဤအရာအားလုံးကို လိုအပ်သည်မဟုတ်သော်လည်း သင် DevSecOps ကို စတင်အကောင်အထည်ဖော်သည်နှင့် အဆုံးသို့သွားရမည်ဖြစ်သည်။

အရင်းအမြစ်. ဇာတ်ကောင်ဖန်တီးသူများ- Justin Roiland နှင့် Dan Harmon။

SecDevOps ဆိုတာဘာလဲ။ DevSecOps ကော ဘယ်လိုလဲ။ ကွာခြားချက်များကား အဘယ်နည်း။ Application Security - အဲဒါက ဘာအကြောင်းလဲ။ ဂန္တဝင်ချဉ်းကပ်နည်းက ဘာကြောင့် အလုပ်မဖြစ်တော့တာလဲ။ ဒီမေးခွန်းတွေအားလုံးရဲ့ အဖြေကို သိတယ်။ Yuri Shabalin မှ Swordfish လုံခြုံရေး။ Yuri သည် အရာအားလုံးကို အသေးစိတ်ဖြေကြားပြီး classical Application Security မော်ဒယ်မှ DevSecOps လုပ်ငန်းစဉ်သို့ ကူးပြောင်းခြင်းဆိုင်ရာ ပြဿနာများကို ခွဲခြမ်းစိတ်ဖြာပေးမည်- လုံခြုံသောဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်၏ပေါင်းစပ်မှုကို DevOps လုပ်ငန်းစဉ်တွင် ကောင်းစွာချဉ်းကပ်နည်းနှင့် မည်သည့်အရာကိုမျှ မချိုးဖျက်ဘဲ အဓိကအဆင့်များကို ဖြတ်သန်းရပုံ၊ လုံခြုံရေးစမ်းသပ်ခြင်း၊ မည်သည့်ကိရိယာများကို အသုံးပြုရသနည်း၊ ၎င်းတို့ ကွာခြားချက်နှင့် အမှားအယွင်းများကို ရှောင်ရှားရန် ၎င်းတို့ကို မှန်ကန်စွာ ပြင်ဆင်သတ်မှတ်နည်း။

စပီကာအကြောင်း- Yuri Shabalin - ကုမ္ပဏီတွင် လုံခြုံရေးဗိသုကာချုပ် Swordfish လုံခြုံရေး. အပလီကေးရှင်းခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများကို တစ်စုတစ်စည်းတည်း ဖွံ့ဖြိုးတိုးတက်မှုနှင့် စမ်းသပ်ခြင်းဂေဟစနစ်သို့ အလုံးစုံပေါင်းစပ်မှုအတွက် SSDL ၏ အကောင်အထည်ဖော်မှုအတွက် တာဝန်ရှိသည်။ သတင်းအချက်အလက်လုံခြုံရေးအတွက် 7 နှစ်အတွေ့အကြုံ။ ဆော့ဖ်ဝဲလ်ကို ဖန်တီးပြီး ဝန်ဆောင်မှုများပေးသည့် Alfa-Bank၊ Sberbank နှင့် Positive Technologies တွင် တာဝန်ထမ်းဆောင်ခဲ့သည်။ ZerONnights၊ PHDays၊ RISSPA၊ OWASP၊ နိုင်ငံတကာ ညီလာခံများတွင် ဟောပြောသူ။

အက်ပလီကေးရှင်းလုံခြုံရေး- အဲဒါက ဘာအကြောင်းလဲ။

လျှောက်လွှာလုံခြုံရေး - ဤသည်မှာ အပလီကေးရှင်းလုံခြုံရေးအတွက် တာဝန်ရှိသော လုံခြုံရေးကဏ္ဍဖြစ်သည်။ ၎င်းသည် အခြေခံအဆောက်အအုံ သို့မဟုတ် ကွန်ရက်လုံခြုံရေးနှင့် မသက်ဆိုင်သော်လည်း ကျွန်ုပ်တို့ရေးသားသည့်အရာနှင့် ဆော့ဖ်ဝဲရေးသားသူများ လုပ်ဆောင်နေသည့်အရာနှင့်သာ မဟုတ်ဘဲ၊ ၎င်းတို့သည် အပလီကေးရှင်း၏ ချို့ယွင်းချက်များနှင့် အားနည်းချက်များဖြစ်သည်။

ဦးတည်ချက် SDL သို့မဟုတ် SDLC - လုံခြုံရေးဖွံ့ဖြိုးတိုးတက်မှုဘဝစက်ဝန်း - Microsoft မှတီထွင်သည်။ ပုံကြမ်းသည် လိုအပ်ချက်များမှ ထွက်ရှိခြင်းနှင့် ထုတ်လုပ်ခြင်းအထိ၊ ဖွံ့ဖြိုးတိုးတက်မှုအဆင့်တိုင်းတွင် လုံခြုံရေးပါဝင်မှုဖြစ်သည့် canonical SDLC မော်ဒယ်ကို ပြသထားသည်။ လုပ်ငန်းနယ်ပယ်တွင် ချို့ယွင်းချက်များစွာရှိနေကြောင်း Microsoft မှ သိရှိနားလည်ခဲ့ပြီး ၎င်းတို့အနက်မှ ပိုမိုများပြားပြီး ၎င်းနှင့်ပတ်သက်ပြီး တစ်ခုခုလုပ်ဆောင်ရမည်ဟု သိရှိထားကာ ၎င်းတို့သည် ဤချဉ်းကပ်နည်းကို အဆိုပြုခဲ့သည်။

အက်ပလီကေးရှင်းလုံခြုံရေးနှင့် SSDL တို့သည် အများအားဖြင့်ယုံကြည်ထားသည့်အတိုင်း အားနည်းချက်များကိုရှာဖွေရန်မရည်ရွယ်ဘဲ ၎င်းတို့၏ဖြစ်ပေါ်မှုကိုကာကွယ်ရန်ဖြစ်သည်။ အချိန်ကြာလာသည်နှင့်အမျှ၊ Microsoft ၏ Canonical ချဉ်းကပ်မှုသည် ပိုမိုနက်ရှိုင်းပြီး အသေးစိတ်အချက်အလတ်တစ်ခုအဖြစ် ပိုမိုကောင်းမွန်လာကာ တီထွင်ဖန်တီးနိုင်ခဲ့သည်။

Canonical SDLC သည် OpenSAMM၊ BSIMM၊ OWASP အမျိုးမျိုးသော နည်းလမ်းများတွင် အလွန်အသေးစိတ်ဖော်ပြထားသည်။ နည်းစနစ်များသည် ကွဲပြားသော်လည်း ယေဘုယျအားဖြင့် ဆင်တူသည်။

ရင့်ကျက်မှုပုံစံတွင် လုံခြုံရေးတည်ဆောက်ခြင်း။

ကျွန်တော် အကြိုက်ဆုံးပဲ။ BSIMM - ရင့်ကျက်မှုပုံစံတွင် လုံခြုံရေးတည်ဆောက်ခြင်း။. နည်းစနစ်၏အခြေခံမှာ Application Security လုပ်ငန်းစဉ်ကို domain 4 ခုအဖြစ် ပိုင်းခြားခြင်းဖြစ်သည်- အုပ်ချုပ်မှု၊ Intelligence၊ SSDL Touchpoints နှင့် Deployment။ ဒိုမိန်းတစ်ခုစီတွင် အလေ့အကျင့် 12 ခုရှိပြီး 112 လှုပ်ရှားမှုများအဖြစ် ကိုယ်စားပြုထားသည်။

112 လှုပ်ရှားမှုတစ်ခုစီရှိသည်။ ရင့်ကျက်မှု အဆင့် ၃: စတင်သူ၊ အလယ်အလတ်နှင့် အဆင့်မြင့်။ ကဏ္ဍအလိုက် အလေ့အကျင့် 12 ခုလုံးကို လေ့လာနိုင်ပြီး၊ သင့်အတွက် အရေးကြီးသောအရာများကို ရွေးချယ်ကာ ၎င်းတို့ကို မည်သို့အကောင်အထည်ဖော်ရမည်ကို တွက်ဆကာ အစိတ်အပိုင်းများကို ဖြည်းဖြည်းချင်းထည့်ပါ ဥပမာ၊ အငြိမ်နှင့် တက်ကြွသောကုဒ်ခွဲခြမ်းစိတ်ဖြာမှု သို့မဟုတ် ကုဒ်ပြန်လည်သုံးသပ်ခြင်းတို့ကို လုပ်ဆောင်နိုင်သည်။ သင်ရွေးချယ်ထားသော လုပ်ဆောင်ချက်များ၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် ၎င်းအစီအစဉ်အတိုင်း အေးအေးဆေးဆေး လုပ်ဆောင်ပါ။

DevSecOps အဘယ်ကြောင့်နည်း

DevOps သည် လုံခြုံရေးကို ထည့်သွင်းစဉ်းစားရမည့် ယေဘုယျအားဖြင့် ကြီးမားသော လုပ်ငန်းစဉ်တစ်ခုဖြစ်သည်။

ကနဦး DevOps လုံခြုံရေးစစ်ဆေးမှုတွေ ပါဝင်ပါတယ်။ လက်တွေ့တွင်၊ လုံခြုံရေးအဖွဲ့အရေအတွက်သည် ယခုထက် များစွာနည်းပါးနေပြီး ၎င်းတို့သည် လုပ်ငန်းစဉ်တွင် ပါဝင်သူများအဖြစ် မလုပ်ဆောင်ဘဲ ၎င်းတွင် လိုအပ်ချက်များကို ချမှတ်ကာ ထုတ်ကုန်၏ အရည်အသွေးကို စစ်ဆေးသည့် ထိန်းချုပ်မှုနှင့် ကြီးကြပ်ရေးအဖွဲ့အဖြစ် လုပ်ဆောင်သည်။ ဤသည်မှာ လုံခြုံရေးအဖွဲ့များသည် ဖွံ့ဖြိုးတိုးတက်မှုမှ တံတိုင်းနောက်ကွယ်တွင် ရှိနေခဲ့ပြီး လုပ်ငန်းစဉ်တွင် မပါဝင်ခဲ့သည့် ရှေးရိုးနည်းလမ်းတစ်ခုဖြစ်သည်။

အဓိကပြဿနာမှာ သတင်းအချက်အလက်လုံခြုံရေးသည် ဖွံ့ဖြိုးတိုးတက်မှုနှင့် သီးခြားဖြစ်သည်။ အများအားဖြင့် ၎င်းသည် သတင်းအချက်အလက်လုံခြုံရေးပတ်လမ်းတစ်မျိုးဖြစ်ပြီး ၎င်းတွင် ကြီးမားပြီးစျေးကြီးသည့်ကိရိယာ ၂-၃ ခုပါရှိသည်။ ခြောက်လတစ်ကြိမ် စစ်ဆေးရန်လိုအပ်သည့် အရင်းအမြစ်ကုဒ် သို့မဟုတ် အပလီကေးရှင်းများ ရောက်ရှိလာပြီး ၎င်းတို့ကို တစ်နှစ်တစ်ကြိမ် ထုတ်လုပ်သည်။ pentests. ဤအရာအားလုံးသည် စက်မှုလုပ်ငန်းအတွက် ဖြန့်ချိမည့်ရက်စွဲကို နှောင့်နှေးစေသည်ဟူသောအချက်ကို ဦးတည်စေပြီး developer သည် အလိုအလျောက်ကိရိယာများမှ ကြီးမားသောအားနည်းချက်များစွာကို ကြုံတွေ့နေရသည်။ ယခင်ခြောက်လအတွက် ရလဒ်များကို မခွဲခြားထားသောကြောင့် ဤအရာအားလုံးကို ဖြုတ်ပြီး ပြုပြင်ရန် မဖြစ်နိုင်ပါ၊ သို့သော် ဤနေရာတွင် အတွဲအသစ်ဖြစ်သည်။

ကျွန်ုပ်တို့၏ကုမ္ပဏီ၏လုပ်ငန်းဆောင်ရွက်စဉ်တွင်၊ နယ်ပယ်အားလုံးနှင့်စက်မှုလုပ်ငန်းများရှိ လုံခြုံရေးသည် တစ်ခုတည်းသောဘီးပေါ်တွင် အမီလိုက်ကာ ဖွံ့ဖြိုးတိုးတက်မှုနှင့်အတူ လှည့်ပတ်ရမည့်အချိန်ဖြစ်ကြောင်း ကျွန်ုပ်တို့သိမြင်ပါသည်။ ခေတ်ရဲ့သွက်လက်. DevSecOps ပါရာဒိုင်းသည် ထုတ်ဝေမှုတိုင်းနှင့် ထပ်ခါထပ်ခါလုပ်ဆောင်မှုတိုင်းတွင် သွက်လက်သောဖွံ့ဖြိုးတိုးတက်မှုနည်းစနစ်၊ အကောင်အထည်ဖော်မှု၊ ပံ့ပိုးမှု၊ ပါဝင်မှုနှင့် ကိုက်ညီမှုရှိသည်။

DevSecOps သို့ ကူးပြောင်းခြင်း။

Security Development Lifecycle တွင် အရေးအကြီးဆုံး စကားလုံးမှာ "လုပ်ငန်းစဉ်". Tools မဝယ်ခင် ဒါကိုနားလည်ထားရပါမယ်။

DevOps လုပ်ငန်းစဉ်တွင် ကိရိယာများကို ရိုးရှင်းစွာထည့်သွင်းခြင်းသည် မလုံလောက်ပါ- လုပ်ငန်းစဉ်တွင် ပါဝင်သူများအကြား ဆက်သွယ်မှုနှင့် နားလည်မှုတို့သည် အရေးကြီးပါသည်။

လူတွေက ပိုအရေးကြီးတယ်၊ ကိရိယာတွေ မဟုတ်ဘူး။

မကြာခဏဆိုသလို၊ လုံခြုံသောဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်တစ်ခုအတွက် အစီအစဥ်ရေးဆွဲခြင်းသည် ကိရိယာတစ်ခုရွေးချယ်ခြင်းနှင့် ဝယ်ယူခြင်းမှအစပြုကာ ကြိုးပမ်းမှုများကျန်ရှိနေသည့် လက်ရှိလုပ်ငန်းစဉ်တွင် ကိရိယာကို ပေါင်းစပ်ရန် ကြိုးပမ်းမှုများဖြင့် အဆုံးသတ်ပါသည်။ ၎င်းသည် ကိရိယာအားလုံးတွင် ၎င်းတို့၏ကိုယ်ပိုင်လက္ခဏာများနှင့် ကန့်သတ်ချက်များရှိသောကြောင့် ကံမကောင်းသည့်အကျိုးဆက်များဆီသို့ ဦးတည်စေသည်။

အဖြစ်များသော ကိစ္စမှာ လုံခြုံရေးဌာနသည် ကျယ်ပြန့်သော စွမ်းရည်ရှိသော ကောင်းသော၊ ဈေးကြီးသည့် ကိရိယာကို ရွေးချယ်ကာ ၎င်းကို လုပ်ငန်းစဉ်တွင် ပေါင်းစည်းရန် developer များထံ ရောက်လာသောအခါ ဖြစ်သည်။ ဒါပေမယ့် အဆင်မပြေပါဘူး - ဝယ်ယူပြီးသောကိရိယာ၏ ကန့်သတ်ချက်များသည် လက်ရှိပါရာဒိုင်းနှင့် မကိုက်ညီသည့်ပုံစံဖြင့် တည်ဆောက်ထားသည်။

ပထမဦးစွာ သင်အလိုရှိသော ရလဒ်နှင့် လုပ်ငန်းစဉ်သည် မည်သို့မည်ပုံ ဖြစ်လာမည်ကို ဖော်ပြပါ။ ၎င်းသည် လုပ်ငန်းစဉ်တွင် ကိရိယာနှင့် ဘေးကင်းရေး၏ အခန်းကဏ္ဍများကို နားလည်ရန် ကူညီပေးပါမည်။

အသုံးပြုပြီးသားအရာကို စတင်ပါ။

စျေးကြီးသောကိရိယာများမဝယ်မီ သင့်တွင်ရှိပြီးသားအရာကိုကြည့်ပါ။ ကုမ္ပဏီတိုင်းတွင် ဖွံ့ဖြိုးတိုးတက်မှုအတွက် လုံခြုံရေး လိုအပ်ချက်များ ရှိသည်၊ စစ်ဆေးမှုများ၊ pentests များရှိသည် - ဤအရာအားလုံးကို လူတိုင်းနားလည်နိုင်သော ပုံစံအဖြစ်သို့ မပြောင်းလဲဘဲ အဘယ်ကြောင့်နည်း။

အများအားဖြင့် လိုအပ်ချက်များမှာ စင်ပေါ်တွင် တင်ထားသော စက္ကူ Talmud ဖြစ်သည်။ လုပ်ငန်းစဉ်များကိုကြည့်ရှုရန် ကုမ္ပဏီတစ်ခုသို့ ရောက်ရှိလာပြီး ဆော့ဖ်ဝဲအတွက် လုံခြုံရေးလိုအပ်ချက်များကို ကြည့်ရှုရန် တောင်းဆိုသည့်ကိစ္စတစ်ခုရှိသည်။ ဒါကို ကိုင်တွယ်ဖြေရှင်းတဲ့ အထူးကုဆရာဝန်က အချိန်အတော်ကြာအောင် ရှာဖွေနေခဲ့ပါတယ်။

- ယခု၊ မှတ်စု၏တစ်နေရာတွင် ဤစာရွက်စာတမ်းတည်ရှိသည့်လမ်းကြောင်းရှိနေသည်။

ထို့ကြောင့် တစ်ပတ်အကြာတွင် စာရွက်စာတမ်းကို ကျွန်ုပ်တို့ လက်ခံရရှိခဲ့သည်။

လိုအပ်ချက်များ၊ စစ်ဆေးမှုများနှင့် အခြားအရာများအတွက် ဥပမာတွင် စာမျက်နှာတစ်ခုကို ဖန်တီးပါ။ မြစ်ဆုံ - လူတိုင်းအတွက် အဆင်ပြေတယ်။

သင်ရှိပြီးသားအရာကို ပြုပြင်ပြောင်းလဲပြီး စတင်ရန် ၎င်းကို အသုံးပြုရန် ပိုမိုလွယ်ကူသည်။

Security Champions ကိုသုံးပါ။

ပုံမှန်အားဖြင့်၊ developer 100-200 ရှိသော ပျမ်းမျှကုမ္ပဏီတစ်ခုတွင် လုပ်ဆောင်ချက်များစွာကို လုပ်ဆောင်ပြီး အရာအားလုံးကို စစ်ဆေးရန် အချိန်မရှိသော လုံခြုံရေးကျွမ်းကျင်သူတစ်ဦးရှိသည်။ အစွမ်းကုန်ကြိုးစားသော်လည်း၊ ဖွံ့ဖြိုးတိုးတက်မှုထုတ်ပေးသည့်ကုဒ်အားလုံးကို သူတစ်ယောက်တည်း စစ်ဆေးမည်မဟုတ်ပါ။ ထိုသို့သောကိစ္စများအတွက် အယူအဆတစ်ခုကို တီထွင်ခဲ့သည်- လုံခြုံရေးချန်ပီယံ.

လုံခြုံရေးချန်ပီယံများသည် သင့်ထုတ်ကုန်၏လုံခြုံရေးကို စိတ်ဝင်စားသော ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့အတွင်းမှ လူများဖြစ်သည်။

Security Champion သည် ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့၏ ဝင်ခွင့်အမှတ်တစ်ခုဖြစ်ပြီး လုံခြုံရေးဆိုင်ရာ ဧဝံဂေလိတရားဟောပြောသူတစ်ဦးအဖြစ် ပေါင်းစပ်ပါဝင်ခဲ့သည်။

ပုံမှန်အားဖြင့်၊ လုံခြုံရေးကျွမ်းကျင်သူတစ်ဦးသည် ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့ထံသို့ ရောက်ရှိလာပြီး ကုဒ်တွင် အမှားအယွင်းတစ်ခုကို ထောက်ပြသောအခါတွင် အံ့သြဖွယ်အဖြေတစ်ခု ရရှိသည်-

- မင်းကဘယ်သူလဲ။ ငါ မင်းကို ပထမဆုံးအကြိမ်တွေ့တာပါ။ အားလုံးအဆင်ပြေပါတယ် - အကြီးတန်းသူငယ်ချင်းက ကုဒ်ပြန်လည်သုံးသပ်ခြင်းအတွက် "လျှောက်ထား" ပေးခဲ့တယ်၊ ဆက်သွားပါ။

ဤသည်မှာ ပုံမှန်အခြေအနေဖြစ်သည်၊ အကြောင်းမှာ၊ ဆော့ဖ်ဝဲအင်ဂျင်နီယာသည် အလုပ်နှင့် ကုဒ်ပြန်လည်သုံးသပ်မှုတွင် အမြဲတစေ အပြန်အလှန်ဆက်သွယ်ပေးသော သက်ကြီးရွယ်အိုများ သို့မဟုတ် ရိုးရိုးအသင်းဖော်များအပေါ်တွင် ပိုမိုယုံကြည်မှုရှိသောကြောင့်ဖြစ်သည်။ လုံခြုံရေးအရာရှိအစား လုံခြုံရေးချန်ပီယံက အမှားနဲ့အကျိုးဆက်တွေကို ထောက်ပြရင် သူ့စကားက ပိုအလေးချိန်ရှိလိမ့်မယ်။

ထို့အပြင်၊ developer များသည် လုံခြုံရေးကျွမ်းကျင်သူများထက် ၎င်းတို့၏ကုဒ်ကို ပိုသိသည်။ static analysis tool တစ်ခုတွင် အနည်းဆုံး ပရောဂျက် 5 ခုရှိသူတစ်ဦးအတွက်၊ ကွဲပြားမှုများအားလုံးကို မှတ်မိရန် ခက်ခဲတတ်သည်။ လုံခြုံရေးချန်ပီယံများသည် ၎င်းတို့၏ထုတ်ကုန်ကို သိသည်- အဘယ်အရာနှင့် တုံ့ပြန်သနည်း၊ ပထမဦးစွာကြည့်ရမည့်အရာ- ၎င်းတို့သည် ပိုထိရောက်သည်။

ထို့ကြောင့် Security Champions ကို အကောင်အထည်ဖော်ပြီး သင့်လုံခြုံရေးအဖွဲ့၏ သြဇာလွှမ်းမိုးမှုကို ချဲ့ထွင်ရန် စဉ်းစားပါ။ ၎င်းသည် ချန်ပီယံကိုယ်တိုင်အတွက်လည်း အသုံးဝင်သည်- နယ်ပယ်သစ်တွင် ပရော်ဖက်ရှင်နယ် ဖွံ့ဖြိုးတိုးတက်မှု၊ ၎င်း၏ နည်းပညာဆိုင်ရာ နယ်ပယ်များကို ချဲ့ထွင်ခြင်း၊ နည်းပညာပိုင်း၊ စီမံခန့်ခွဲမှုနှင့် ခေါင်းဆောင်မှုစွမ်းရည်များကို အဆင့်မြှင့်တင်ခြင်း၊ စျေးကွက်တန်ဖိုး တိုးမြှင့်ခြင်း။ ဤသည်မှာ ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့ရှိ သင်၏ “မျက်လုံးများ” ဖြစ်သော လူမှုရေးအင်ဂျင်နီယာ၏ အစိတ်အပိုင်းအချို့ဖြစ်သည်။

စမ်းသပ်မှုအဆင့်ဆင့်

ပါရာဒိုင်း ၂၀ မှ ၈၀ အားထုတ်မှု၏ 20% သည် 80% ရလဒ်ကိုထုတ်ပေးသည်ဟုဆိုသည်။ ဤ 20% သည် အလိုအလျောက်လုပ်ဆောင်နိုင်သော အပလီကေးရှင်းခွဲခြမ်းစိတ်ဖြာခြင်းအလေ့အကျင့်များဖြစ်သည်။ ထိုကဲ့သို့သော လုပ်ဆောင်မှုများ၏ ဥပမာများမှာ တည်ငြိမ်မှု ခွဲခြမ်းစိတ်ဖြာခြင်းဖြစ်သည်- SASTသွက်လက် ဆန်းစစ်ခြင်း - DAST и Open Source ထိန်းချုပ်မှု. လုပ်ဆောင်ချက်များအပြင် ကိရိယာများအကြောင်း၊ ၎င်းတို့ကို လုပ်ငန်းစဉ်တွင် မိတ်ဆက်ပေးသောအခါတွင် ကျွန်ုပ်တို့ကြုံတွေ့ရလေ့ရှိသည့် အင်္ဂါရပ်များအကြောင်းနှင့် ၎င်းကို မှန်ကန်စွာလုပ်ဆောင်ပုံများအကြောင်း အသေးစိတ်ကို သင့်အား ပြောပြပါမည်။

ကိရိယာများ၏အဓိကပြဿနာများ

တူရိယာအားလုံးအတွက် သက်ဆိုင်သည့် ပြဿနာများကို ပေါ်လွင်စေပြီး သတိထားရန် လိုအပ်ပါသည်။ အဲဒါတွေကို ထပ်ပြီး ထပ်မထပ်မိအောင် အသေးစိတ် ခွဲခြမ်းစိတ်ဖြာပါ့မယ်။

ခွဲခြမ်းစိတ်ဖြာတာ ကြာပြီ ။ စမ်းသပ်မှုများနှင့် တပ်ဆင်မှုအားလုံးအတွက် မိနစ် 30 ကြာမည်ဆိုပါက အချက်အလက်များ လုံခြုံရေးစစ်ဆေးမှုသည် တစ်ရက်ကြာမြင့်မည်ဖြစ်သည်။ ဒါကြောင့် လုပ်ငန်းစဉ်ကို ဘယ်သူမှ နှောင့်နှေးစေမှာ မဟုတ်ပါဘူး။ ဤအင်္ဂါရပ်ကို ထည့်သွင်းစဉ်းစားပြီး ကောက်ချက်ဆွဲပါ။

အဆင့်မြင့်မားသော False Negative သို့မဟုတ် False Positive။ ထုတ်ကုန်အားလုံးသည် ကွဲပြားသည်၊ အားလုံးသည် မတူညီသောဘောင်များနှင့် ၎င်းတို့၏ကိုယ်ပိုင် coding ပုံစံကို အသုံးပြုကြသည်။ မတူညီသောကုဒ်အခြေခံများနှင့် နည်းပညာများတွင်၊ ကိရိယာများသည် False Negative နှင့် False Positive အဆင့်များကို ပြသနိုင်သည်။ ဒါဆို ဘယ်အထဲမှာပါလဲ အတိအကျကြည့်လိုက်ပါ။ သင့်ရဲ့ ကုမ္ပဏီများနှင့် မင်းရဲ့ အပလီကေးရှင်းများသည် ကောင်းမွန်ပြီး ယုံကြည်စိတ်ချရသော ရလဒ်များကို ပြသမည်ဖြစ်သည်။

ရှိပြီးသားကိရိယာများနှင့် ပေါင်းစည်းခြင်းမရှိပါ။. သင်အသုံးပြုပြီးသားအရာများနှင့် ပေါင်းစပ်မှုဆိုင်ရာ ကိရိယာများကို ကြည့်ပါ။ ဥပမာအားဖြင့်၊ သင့်တွင် Jenkins သို့မဟုတ် TeamCity ရှိပါက၊ သင်အသုံးမပြုသည့် GitLab CI နှင့်မဟုတ်ဘဲ၊ ဤဆော့ဖ်ဝဲနှင့် ကိရိယာများ၏ ပေါင်းစပ်မှုကို စစ်ဆေးပါ။

စိတ်ကြိုက်ပြင်ဆင်ခြင်း မရှိခြင်း သို့မဟုတ် အလွန်အကျွံ ရှုပ်ထွေးမှု။ ကိရိယာတစ်ခုတွင် API မရှိပါက အဘယ်ကြောင့် လိုအပ်သနည်း။ အင်တာဖေ့စ်တွင် လုပ်ဆောင်နိုင်သမျှအားလုံးကို API မှတစ်ဆင့် ရရှိသင့်သည်။ အကောင်းဆုံးမှာ၊ ကိရိယာသည် စစ်ဆေးမှုများကို စိတ်ကြိုက်ပြင်ဆင်နိုင်စွမ်းရှိသင့်သည်။

ထုတ်ကုန်ဖွံ့ဖြိုးတိုးတက်ရေး လမ်းပြမြေပုံမရှိပါ။ ဖွံ့ဖြိုးတိုးတက်မှုသည် မတည်မငြိမ်ဖြစ်ပြီး၊ ကျွန်ုပ်တို့သည် ကုဒ်ဟောင်းကို ဘာသာစကားအသစ်သို့ ပြန်လည်ရေးသားခြင်းဖြင့် မူဘောင်အသစ်များနှင့် လုပ်ဆောင်ချက်များကို အမြဲအသုံးပြုနေပါသည်။ ကျွန်ုပ်တို့ဝယ်ယူသည့်ကိရိယာသည် မူဘောင်များနှင့် နည်းပညာအသစ်များကို ပံ့ပိုးပေးကြောင်း သေချာစေလိုပါသည်။ ထို့ကြောင့် ထုတ်ကုန်သည် မှန်ကန်ပြီး မှန်ကန်ကြောင်း သိရန် အရေးကြီးပါသည်။ လမ်းပြမြေပုံ ဖွံ့ဖြိုးတိုးတက်မှု။

ဖြစ်စဉ်ကိုအင်္ဂါရပ်များ

ကိရိယာများ၏အင်္ဂါရပ်များအပြင်၊ ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်၏အင်္ဂါရပ်များကိုထည့်သွင်းစဉ်းစားပါ။ ဥပမာအားဖြင့်၊ ဖွံ့ဖြိုးတိုးတက်မှုကို ဟန့်တားခြင်းသည် သာမန်အမှားတစ်ခုဖြစ်သည်။ အခြားအင်္ဂါရပ်များကို ထည့်သွင်းစဉ်းစားသင့်ပြီး လုံခြုံရေးအဖွဲ့မှ အာရုံစိုက်သင့်သည်များကို ကြည့်ကြပါစို့။

ဖွံ့ဖြိုးတိုးတက်မှုနှင့် သတ်မှတ်ရက်များကို မလွတ်စေရန် ဖန်တီးပါ။ ကွဲပြားခြားနားသောစည်းမျဉ်းများ ကွဲပြားသည်။ stoppers ပြပါ။ — အားနည်းချက်များရှိနေချိန်တွင် တည်ဆောက်မှုလုပ်ငန်းစဉ်ကို ရပ်တန့်ရန် စံသတ်မှတ်ချက်များ — မတူညီသောပတ်ဝန်းကျင်အတွက်. ဥပမာအားဖြင့်၊ လက်ရှိဌာနခွဲသည် ဖွံ့ဖြိုးတိုးတက်ရေးဌာန သို့မဟုတ် UAT သို့သွားကြောင်း ကျွန်ုပ်တို့နားလည်သဘောပေါက်သည်၊ ဆိုလိုသည်မှာ ကျွန်ုပ်တို့သည် မရပ်ဘဲပြောသည်-

"မင်းမှာ အားနည်းချက်တွေရှိတယ်၊ မင်း နောက်ထပ်ဘယ်ကိုမှ မသွားတော့ဘူး!"

ဤအချိန်တွင်၊ အထူးသတိထားရန်လိုသော လုံခြုံရေးပြဿနာများရှိနေကြောင်း developer များအား ပြောပြရန် အရေးကြီးပါသည်။

အားနည်းချက်များရှိနေခြင်းသည် နောက်ထပ်စမ်းသပ်မှုအတွက် အတားအဆီးမဟုတ်ပါ။: လက်စွဲ၊ ပေါင်းစပ်မှု သို့မဟုတ် လက်စွဲစာအုပ်။ အခြားတစ်ဖက်တွင်၊ ကျွန်ုပ်တို့သည် ထုတ်ကုန်၏လုံခြုံရေးကို တစ်နည်းနည်းဖြင့် တိုးမြှင့်ရန် လိုအပ်ပြီး developer များက ၎င်းတို့ ဘေးကင်းသည်ကို လျစ်လျူမရှုမိစေရန်။ ထို့ကြောင့်၊ တစ်ခါတစ်ရံတွင် ကျွန်ုပ်တို့သည် ဤအရာကို လုပ်ဆောင်သည်- ဖွံ့ဖြိုးတိုးတက်ရေးပတ်ဝန်းကျင်သို့ ဖြန့်ကျက်သောအခါ၊ ရပ်တည်ချက်တွင်၊ ကျွန်ုပ်တို့သည် ဖွံ့ဖြိုးတိုးတက်မှုကို ရိုးရှင်းစွာ အသိပေးသည်-

- ယောက်ျားလေးတို့၊ မင်းမှာ ပြဿနာတွေ ရှိတယ်၊ သူတို့ကို ကျေးဇူးပြုပြီး အာရုံစိုက်ပါ။

UAT အဆင့်တွင် ကျွန်ုပ်တို့သည် အားနည်းချက်များအကြောင်း သတိပေးချက်များကို ထပ်မံပြသပြီး ဖြန့်ချိသည့်အဆင့်တွင် ကျွန်ုပ်တို့သည် အောက်ပါအတိုင်းပြောပါသည်။

ယောက်ျားလေးတို့၊ ငါတို့ မင်းကို အကြိမ်ကြိမ် သတိပေးခဲ့တယ်၊ မင်း ဘာမှ မလုပ်ခဲ့ဘူး၊ ဒါကို ငါတို့ မင်းကို ခွင့်မပြုဘူး။

ကုဒ်နှင့် ဒိုင်းနမစ်များအကြောင်း ပြောဆိုပါက၊ ဤအင်္ဂါရပ်တွင် ယခုလေးတင်ရေးသားထားသည့် အဆိုပါအင်္ဂါရပ်များနှင့် ကုဒ်များ၏ အားနည်းချက်များကိုသာ ပြသရန်နှင့် သတိပေးရန် လိုအပ်ပါသည်။ developer သည် 3 pixels ဖြင့် ခလုတ်တစ်ခုကို ရွှေ့ပြီး သူ့တွင် SQL ထိုးဆေးရှိနေကြောင်း ကျွန်ုပ်တို့က သူ့ကိုပြောသောကြောင့် အရေးပေါ်ပြုပြင်ရန် လိုအပ်ပါက၊ ၎င်းသည် မှားယွင်းပါသည်။ ယခုရေးထားသည့်အရာနှင့် လျှောက်လွှာတွင်ပါရှိသည့် အပြောင်းအလဲကိုသာ ကြည့်လိုက်ပါ။

ကျွန်ုပ်တို့တွင် အချို့သော လုပ်ဆောင်ချက်ဆိုင်ရာ ချို့ယွင်းချက်တစ်ခုရှိသည် - အပလီကေးရှင်းအလုပ်မလုပ်သင့်သောနည်းလမ်း- ငွေမလွှဲ၊ ခလုတ်တစ်ခုကိုနှိပ်လိုက်သောအခါ နောက်စာမျက်နှာသို့ ကူးပြောင်းခြင်းမရှိပါ၊ သို့မဟုတ် ထုတ်ကုန်သည် မတင်တော့ပါ။ လုံခြုံရေးချွတ်ယွင်းချက်များ - ဤအရာများသည် တူညီသော ချို့ယွင်းချက်များဖြစ်သည်၊ သို့သော် အသုံးချဆောင်ရွက်မှုဆိုင်ရာ သတ်မှတ်ချက်များတွင် မဟုတ်ဘဲ လုံခြုံရေးအရ ဖြစ်သည်။

ဆော့ဖ်ဝဲအရည်အသွေး ပြဿနာအားလုံးသည် လုံခြုံရေးပြဿနာများ မဟုတ်ပေ။ ဒါပေမယ့် လုံခြုံရေးပြဿနာအားလုံးဟာ ဆော့ဖ်ဝဲအရည်အသွေးနဲ့ ဆက်စပ်နေပါတယ်။ Sherif Mansour၊ Expedia

အားနည်းချက်များအားလုံးသည် တူညီသောချို့ယွင်းချက်များဖြစ်သောကြောင့် ၎င်းတို့သည် ဖွံ့ဖြိုးတိုးတက်မှုဆိုင်ရာချို့ယွင်းချက်များအားလုံးကို တစ်နေရာတည်းတွင် ထားရှိသင့်သည်။ ထို့ကြောင့် မည်သူမျှ မဖတ်နိုင်သော အစီရင်ခံစာများနှင့် ကြောက်စရာ PDF များကို မေ့ထားလိုက်ပါ။

ကျွန်ုပ်သည် ဖွံ့ဖြိုးတိုးတက်ရေးကုမ္ပဏီတစ်ခုတွင် အလုပ်လုပ်သောအခါ၊ တည်ငြိမ်မှုဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများမှ အစီရင်ခံစာကို လက်ခံရရှိခဲ့ပါသည်။ ငါဖွင့်လိုက်၊ ထိတ်လန့်သွားတယ်၊ ကော်ဖီလုပ်တယ်၊ စာမျက်နှာ ၃၅၀ ဖြတ်ပြီး ပိတ်လိုက်ပြီး အလုပ်ဆက်လုပ်တယ်။ ကြီးမားသော အစီရင်ခံစာများသည် အသေခံ အစီရင်ခံစာများဖြစ်သည်။. များသောအားဖြင့် သူတို့ဘယ်မှမသွားဘဲ စာလုံးတွေကို ဖျက်ပစ်တယ်၊ မေ့သွားတယ်၊ ပျောက်သွားတယ်၊ ဒါမှမဟုတ် လုပ်ငန်းက အန္တရာယ်တွေကို လက်ခံတယ်လို့ ပြောပါတယ်။

ဘာလုပ်မလဲ? ကျွန်ုပ်တို့တွေ့ရှိထားသော အတည်ပြုထားသော ချို့ယွင်းချက်များကို ဖွံ့ဖြိုးတိုးတက်မှုအတွက် အဆင်ပြေသည့်ပုံစံအဖြစ်သို့ ပြောင်းလဲပေးပါသည်။ ဥပမာအားဖြင့်၊ ၎င်းတို့ကို Jira တွင် backlog တွင် ထည့်ထားပါသည်။ ကျွန်ုပ်တို့သည် ချို့ယွင်းချက်များကို ဦးစားပေးပြီး ၎င်းတို့ကို ဦးစားပေးအစီအစဉ်ဖြင့် ဖယ်ရှားပေးကာ လုပ်ဆောင်မှုဆိုင်ရာ ချို့ယွင်းချက်များနှင့် စမ်းသပ်မှုဆိုင်ရာ ချို့ယွင်းချက်များနှင့်အတူ ၎င်းတို့ကို ဦးစားပေးဖယ်ရှားပါသည်။

Static Analysis - SAST

၎င်းသည် အားနည်းချက်များအတွက် ကုဒ်ခွဲခြမ်းစိတ်ဖြာမှုတစ်ခုဖြစ်သည်။ဒါပေမယ့် SonarQube နဲ့မတူပါဘူး။ ကျွန်ုပ်တို့သည် ပုံစံများ သို့မဟုတ် စတိုင်များကို စစ်ဆေးရုံတင်မကပါ။ ခွဲခြမ်းစိတ်ဖြာမှုတွင် ချဉ်းကပ်မှုအများအပြားကို အသုံးပြုသည်- အားနည်းချက်သစ်ပင်အရ သိရသည်။ DataFlowconfiguration ဖိုင်များကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့်၊ ဒါက ကုဒ်ကိုယ်တိုင်နဲ့ သက်ဆိုင်ပါတယ်။

ချဉ်းကပ်မှု၏အားသာချက်များ: ဖွံ့ဖြိုးတိုးတက်မှု အစောပိုင်းအဆင့်တွင် ကုဒ်တွင် အားနည်းချက်များကို ဖော်ထုတ်ခြင်း။မတ်တပ်ရပ်ခြင်း သို့မဟုတ် အဆင်သင့်လုပ်ထားသော ကိရိယာများ မရှိသေးသည့်အခါ၊ တိုးမြင့်စကင်န်ဖတ်နိုင်မှု: ပြောင်းလဲထားသော ကုဒ်အပိုင်းကို စကင်န်ဖတ်ခြင်း နှင့် စကင်ဖတ်ချိန်ကို လျော့နည်းစေသည့် ကျွန်ုပ်တို့ လက်ရှိ လုပ်ဆောင်နေသော အင်္ဂါရပ်များသာ ဖြစ်ပါသည်။

Минусы - ဤသည်မှာ လိုအပ်သော ဘာသာစကားများအတွက် ပံ့ပိုးမှု မရှိခြင်းပင်ဖြစ်သည်။

လိုအပ်သောပေါင်းစပ်မှု၊ ကျွန်ုပ်၏ ပုဂ္ဂလအမြင်အရ၊

• ပေါင်းစပ်ကိရိယာ- Jenkins၊ TeamCity နှင့် Gitlab CI။
• ဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်- Intellij IDEA၊ Visual Studio။ အလွတ်ကျက်ရန် လိုအပ်နေသေးသည့် နားမလည်နိုင်သော အင်တာဖေ့စ်ကို လမ်းကြောင်းမရှာဘဲ ဆော့ဖ်ဝဲရေးသားသူအတွက် လိုအပ်သော ပေါင်းစပ်မှုများနှင့် အားနည်းချက်များအားလုံးကို သူ့ကိုယ်ပိုင် ဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်ရှိ လုပ်ငန်းခွင်တွင်တွေ့မြင်ရန် ပိုအဆင်ပြေပါသည်။
• ကုဒ်ပြန်လည်သုံးသပ်ခြင်း- SonarQube နှင့် ကိုယ်တိုင်ပြန်လည်သုံးသပ်ခြင်း။
• ချို့ယွင်းချက် ခြေရာခံသူများ- Jira နှင့် Bugzilla။

ပုံတွင် static analysis ၏ အကောင်းဆုံး ကိုယ်စားလှယ်အချို့ကို ပြသထားသည်။

၎င်းသည် အရေးကြီးသော ကိရိယာများမဟုတ်သော်လည်း လုပ်ငန်းစဉ်ဖြစ်သောကြောင့် လုပ်ငန်းစဉ်ကို စမ်းသပ်ရန်အတွက် ကောင်းမွန်သော Open Source ဖြေရှင်းချက်များ ရှိပါသည်။

SAST Open Source သည် ကြီးမားသော အားနည်းချက်များ သို့မဟုတ် ရှုပ်ထွေးသော DataFlows များကို ရှာတွေ့မည်မဟုတ်သော်လည်း လုပ်ငန်းစဉ်တစ်ခုတည်ဆောက်သည့်အခါ ၎င်းတို့ကိုအသုံးပြုနိုင်ပြီး အသုံးပြုသင့်သည်။ ၎င်းတို့သည် လုပ်ငန်းစဉ်ကို မည်သို့တည်ဆောက်မည်၊ အမှားအယွင်းများကို မည်သူတုံ့ပြန်မည်၊ မည်သူက သတင်းပေးပို့မည်၊ မည်သူက သတင်းပေးပို့မည်ကို နားလည်ရန် ကူညီပေးပါသည်။ သင့်ကုဒ်လုံခြုံရေးကို တည်ဆောက်ခြင်း၏ ကနဦးအဆင့်ကို လုပ်ဆောင်လိုပါက Open Source ဖြေရှင်းချက်များကို အသုံးပြုပါ။

သင့်ခရီးအစတွင်ရှိပြီး မည်သည့်အရာမှမရှိပါက၊ CI မရှိ၊ Jenkins၊ TeamCity မရှိပါက ၎င်းကို မည်သို့ပေါင်းစပ်နိုင်မည်နည်း။ လုပ်ငန်းစဉ်တွင် ပေါင်းစည်းရန် စဉ်းစားကြပါစို့။

CVS အဆင့်ပေါင်းစည်းမှု

သင့်တွင် Bitbucket သို့မဟုတ် GitLab ရှိပါက၊ သင်သည် အဆင့်တွင် ပေါင်းစပ်နိုင်သည်။ Concurrent Versions စနစ်.

ပွဲအလိုက် - တောင်းဆိုမှု၊ ကတိပြုခြင်း။ သင်သည် ကုဒ်ကို စကင်န်ဖတ်ပြီး တည်ဆောက်မှုအခြေအနေသည် လုံခြုံရေးစစ်ဆေးမှု အောင်မြင်သည် သို့မဟုတ် မအောင်မြင်ကြောင်း ပြသသည်။

တုံ့ပြန်ချက်။ ဟုတ်ပါတယ်၊ တုံ့ပြန်ချက်အမြဲလိုအပ်ပါတယ်။ ဘေးမှာ လုံခြုံရေးလုပ်ထားရင် သေတ္တာတစ်လုံးထဲထည့်ထားပြီး ဘယ်သူ့ကိုမှ ဘာမှမပြောဘဲနဲ့ လကုန်မှာ ပိုးကောင်တွေ အများကြီး လွှင့်ပစ်လိုက်တယ် - ဒါက မမှန်ဘူး၊ မကောင်းဘူး။

ကုဒ်ပြန်လည်သုံးသပ်ခြင်းစနစ်နှင့် ပေါင်းစပ်ခြင်း။

တစ်ချိန်က၊ ကျွန်ုပ်တို့သည် အရေးကြီးသော ပရောဂျက်များစွာတွင် နည်းပညာပိုင်းဆိုင်ရာ AppSec အသုံးပြုသူအတွက် မူရင်းသုံးသပ်သူအဖြစ် ဆောင်ရွက်ခဲ့ပါသည်။ ကုဒ်အသစ်တွင် အမှားအယွင်းများကို တွေ့ရှိရသည် သို့မဟုတ် အမှားအယွင်းများ မရှိခြင်းအပေါ် မူတည်၍ သုံးသပ်သူက "လက်ခံသည်" သို့မဟုတ် "အလုပ်လိုအပ်သည်" ဟု ဆွဲတင်တောင်းဆိုမှုအပေါ် မူတည်ပြီး - အရာအားလုံး အဆင်ပြေသည် သို့မဟုတ် အတိအကျ မြှင့်တင်ရန်လိုအပ်သည့် လင့်ခ်များ မြှင့်တင်ရန် လိုအပ်သည်။ ထုတ်လုပ်သွားမည့် ဗားရှင်းနှင့် ပေါင်းစည်းရန်အတွက် အချက်အလက် လုံခြုံရေး စမ်းသပ်မှု မအောင်မြင်ပါက ပေါင်းစည်းခြင်း တားမြစ်ချက်ကို ကျွန်ုပ်တို့ ဖွင့်ထားပါသည်။ ၎င်းကို လက်စွဲကုဒ် ပြန်လည်သုံးသပ်မှုတွင် ကျွန်ုပ်တို့ ထည့်သွင်းထားပြီး၊ လုပ်ငန်းစဉ်တွင် အခြားပါဝင်သူများသည် ဤအထူးသဖြင့် လုပ်ငန်းစဉ်အတွက် လုံခြုံရေးအခြေအနေများကို မြင်တွေ့ခဲ့ရသည်။

SonarQube နှင့် ပေါင်းစပ်ခြင်း။

အများအပြားရှိသည်။ အရည်အသွေးတံခါး ကုဒ်အရည်အသွေးအရ ဤနေရာတွင် အတူတူပင်ဖြစ်သည် - သင်သည် SAST ကိရိယာများအတွက်သာ တူညီသောဂိတ်များကို ပြုလုပ်နိုင်သည်။ တူညီသောအင်တာဖေ့စ်၊ တူညီသောအရည်အသွေးတံခါးပေါက်ရှိလိမ့်မည်၊ သာလျှင်၎င်းကိုခေါ်ဆိုလိမ့်မည်။ လုံခြုံရေးဂိတ်. ဒါ့အပြင် SonarQube ကို အသုံးပြုတဲ့ လုပ်ငန်းစဉ်တစ်ခုရှိတယ်ဆိုရင် အဲဒီမှာရှိတဲ့ အရာအားလုံးကို အလွယ်တကူ ပေါင်းစပ်နိုင်ပါတယ်။

CI အဆင့်တွင် ပေါင်းစပ်ခြင်း။

ဤနေရာတွင် အရာအားလုံးသည် အလွန်ရိုးရှင်းပါသည်။

• autotests နှင့် တန်းတူယူနစ်စမ်းသပ်မှုများ။
• ဖွံ့ဖြိုးတိုးတက်မှု အဆင့်များအလိုက် ခွဲဝေပေးခြင်း: dev၊ စမ်းသပ်၊ ရော့။ မတူညီသော စည်းမျဥ်းများ သို့မဟုတ် မတူညီသော ကျရှုံးမှု အခြေအနေများ ပါဝင်နိုင်သည်- စုဝေးမှုကို ရပ်ပါ၊ စည်းဝေးပွဲကို မရပ်တန့်ပါနှင့်။
• စင့်ခ်လုပ်/အပြိုင်အဆိုင် လွှင့်တင်ခြင်း။. လုံခြုံရေးစစ်ဆေးမှုများ ပြီးဆုံးခြင်း ရှိ၊မရှိကို ကျွန်ုပ်တို့ စောင့်ဆိုင်းနေပါသည်။ ဆိုလိုသည်မှာ၊ ကျွန်ုပ်တို့သည် ၎င်းတို့ကို စတင်ပြီး ဆက်လုပ်ပါ၊ ထို့နောက် အရာအားလုံးသည် ကောင်းသည်ဖြစ်စေ၊ ဆိုးသည်ဖြစ်စေ အခြေအနေကို ကျွန်ုပ်တို့ ရရှိပါသည်။

အားလုံးက ပြီးပြည့်စုံတဲ့ ပန်းရောင်ကမ္ဘာထဲမှာ ရှိတယ်။ လက်တွေ့ဘဝတွင် ထိုသို့သောအရာမျိုးမရှိသော်လည်း ကျွန်ုပ်တို့သည် ကြိုးစားအားထုတ်ကြသည်။ လုံခြုံရေးစစ်ဆေးမှုများ၏ရလဒ်သည် ယူနစ်စမ်းသပ်မှုရလဒ်များနှင့် ဆင်တူသင့်သည်။

ဥပမာအားဖြင့်၊ ကျွန်ုပ်တို့သည် ကြီးမားသောပရောဂျက်တစ်ခုကိုယူခဲ့ပြီး ယခုအခါ ၎င်းကို SAST ဖြင့် စကင်န်ဖတ်မည်ဟု ဆုံးဖြတ်ခဲ့သည်။ ဤပရောဂျက်ကို SAST ထဲသို့ တွန်းပို့လိုက်သည်၊ ၎င်းသည် ကျွန်ုပ်တို့အား အားနည်းချက်ပေါင်း 20 ကို ပေးဆောင်ပြီး ခိုင်မာသောဆုံးဖြတ်ချက်ဖြင့် အရာအားလုံးအဆင်ပြေကြောင်း ဆုံးဖြတ်ခဲ့သည်။ အားနည်းချက် 000 သည် ကျွန်ုပ်တို့၏ နည်းပညာဆိုင်ရာ အကြွေးဖြစ်ပါသည်။ ကျွန်ုပ်တို့သည် အကြွေးများကို သေတ္တာတစ်ခုအတွင်း ထားလိုက်မည်ဖြစ်ပြီး၊ ကျွန်ုပ်တို့သည် ၎င်းကို ဖြည်းဖြည်းချင်းရှင်းထုတ်ပြီး ချို့ယွင်းနေသော ခြေရာခံသူများထံ အမှားအယွင်းများကို ပေါင်းထည့်ပါမည်။ ကုမ္ပဏီတစ်ခုကို ငှားလိုက်ရအောင်၊ ကိုယ်တိုင်အကုန်လုပ်ပါ၊ ဒါမှမဟုတ် Security Champions က ကျွန်တော်တို့ကို ကူညီပါ - နည်းပညာဆိုင်ရာ အကြွေးတွေ လျော့သွားမယ်။

ကုဒ်အသစ်ရှိ အသစ်ပေါ်ပေါက်လာသော အားနည်းချက်များအားလုံးကို ယူနစ်တစ်ခုရှိ အမှားအယွင်းများ သို့မဟုတ် autotests ကဲ့သို့ပင် ဖယ်ရှားပစ်ရပါမည်။ နှိုင်းရပြောရလျှင် စည်းဝေးပွဲစတင်သည်၊ ကျွန်ုပ်တို့သည် ၎င်းကိုလုပ်ဆောင်သည်၊ စမ်းသပ်မှုနှစ်ခုနှင့် လုံခြုံရေးစမ်းသပ်မှုနှစ်ခု မအောင်မြင်ပါ။ အိုကေ - ငါတို့သွားခဲ့တယ်၊ ဖြစ်ပျက်ခဲ့တာကိုကြည့်ပြီး၊ တစ်ချက်ပြင်လိုက်တယ်၊ နောက်တစ်ခုကိုပြင်လိုက်တယ်၊ နောက်တစ်ကြိမ်ပြေးခဲ့တယ် - အားလုံးအဆင်ပြေတယ်၊ ​​အားနည်းချက်အသစ်တွေပေါ်လာတယ်၊ စာမေးပွဲတွေမအောင်မြင်ဘူး။ အကယ်၍ ဤလုပ်ဆောင်ချက်သည် ပိုမိုနက်ရှိုင်းပြီး ၎င်းကို ကောင်းစွာနားလည်ရန် လိုအပ်ပါက သို့မဟုတ် အားနည်းချက်များကို ပြင်ဆင်ခြင်းသည် hood အောက်ရှိအရာများ၏ ကြီးမားသောအလွှာအပေါ် သက်ရောက်သည်- ချွတ်ယွင်းချက်ခြေရာခံကိရိယာသို့ bug ပေါင်းထည့်ထားပြီး၊ ၎င်းကို ဦးစားပေးပြီး ပြုပြင်ပါသည်။ ကံမကောင်းစွာပဲ၊ ကမ္ဘာကြီးက မပြီးပြည့်စုံသလို စမ်းသပ်မှုတွေလည်း တခါတရံ ကျရှုံးတတ်ပါတယ်။

လုံခြုံရေးဂိတ်တစ်ခု၏ ဥပမာတစ်ခုသည် ကုဒ်ရှိ အားနည်းချက်များရှိနေခြင်းနှင့် အရေအတွက်အရ အရည်အသွေးဂိတ်တစ်ခု၏ analogue တစ်ခုဖြစ်သည်။

ကျွန်ုပ်တို့ SonarQube နှင့် ပေါင်းစပ်ထားသည် - ပလပ်အင်ကို ထည့်သွင်းထားပြီး၊ အရာအားလုံးသည် အလွန်အဆင်ပြေပြီး အေးမြသည်။

ဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်နှင့် ပေါင်းစပ်ခြင်း။

ပေါင်းစပ်ရွေးချယ်စရာများ-

• commit မလုပ်မီ ဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်မှ စကင်န်တစ်ခုကို လုပ်ဆောင်ပါ။
• ရလဒ်များကိုကြည့်ပါ။
• ရလဒ်များကိုလေ့လာခြင်း။
• ဆာဗာနှင့် ထပ်တူပြုခြင်း။

၎င်းသည် ဆာဗာမှ ရလဒ်များကို လက်ခံရရှိပုံရသည်။

ကျွန်တော်တို့ရဲ့ ဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်မှာ Intellect IDEA စကင်န်ဖတ်နေစဉ်အတွင်း ထိုကဲ့သို့သော အားနည်းချက်များကို တွေ့ရှိကြောင်း အသိပေးသည့် နောက်ထပ်အကြောင်းအရာတစ်ခု ပေါ်လာပါသည်။ ကုဒ်ကို ချက်ခြင်းတည်းဖြတ်နိုင်ပြီး အကြံပြုချက်များကို ကြည့်ရှုနိုင်ပါသည်။ Flow Graph. ဤအရာအားလုံးသည် အလွန်အဆင်ပြေသော developer ၏လုပ်ငန်းခွင်တွင် တည်ရှိသည် - အခြားလင့်ခ်များကို လိုက်ကြည့်ရန် မလိုအပ်ဘဲ အပိုတစ်ခုခုကို ကြည့်ရှုပါ။

ပွင့်လင်းတဲ့အရင်းအမြစ်

ဒါက ကျွန်တော် အကြိုက်ဆုံး ခေါင်းစဉ်ပါ။ လူတိုင်းသည် Open Source စာကြည့်တိုက်များကို အသုံးပြုကြသည် - အရာအားလုံးကို အကောင်အထည် ဖော်ပြီးဖြစ်သည့် အဆင်သင့်လုပ်ထားသည့် စာကြည့်တိုက်တစ်ခုကို သင်ယူနိုင်သောအခါ ချိုင်းထောက်နှင့် စက်ဘီးများကို အဘယ်ကြောင့် ရေးကြသနည်း။

ဟုတ်ပါတယ်၊ ဒါအမှန်ပါပဲ၊ ဒါပေမယ့် စာကြည့်တိုက်တွေမှာလည်း လူတွေက ရေးထားတယ်၊ သူတို့မှာ အန္တရာယ်အချို့လည်း ပါဝင်ပြီး အခါအားလျော်စွာ ဒါမှမဟုတ် အဆက်မပြတ် အစီရင်ခံနေတဲ့ အားနည်းချက်တွေလည်း ရှိပါတယ်။ ထို့ကြောင့်၊ Application Security တွင်နောက်ထပ်အဆင့်ရှိပါသည် - ဤသည်မှာ Open Source အစိတ်အပိုင်းများကိုခွဲခြမ်းစိတ်ဖြာခြင်းဖြစ်ပါသည်။

အရင်းအမြစ် ခွဲခြမ်းစိတ်ဖြာခြင်း - OSA

ကိရိယာတွင် ကြီးမားသော အဆင့်သုံးဆင့် ပါဝင်သည်။

စာကြည့်တိုက်များတွင် အားနည်းချက်များကို ရှာဖွေခြင်း။ ဥပမာအားဖြင့်၊ ကျွန်ုပ်တို့သည် အချို့သော စာကြည့်တိုက်ကို အသုံးပြုနေကြောင်း ကိရိယာက သိသည်။ CVE သို့မဟုတ် ဤဒစ်ဂျစ်တိုက်၏ဤဗားရှင်းနှင့်ဆက်စပ်သော bug trackers များတွင် အားနည်းချက်အချို့ရှိသည်။ ၎င်းကို သင်အသုံးပြုရန် ကြိုးစားသောအခါ၊ ကိရိယာသည် စာကြည့်တိုက်တွင် အားနည်းချက်ရှိကြောင်း သတိပေးချက် ထုတ်ပြန်မည်ဖြစ်ပြီး အားနည်းချက်များမရှိသည့် အခြားဗားရှင်းကို အသုံးပြုရန် အကြံပြုထားသည်။

လိုင်စင်သန့်ရှင်းမှုကို လေ့လာခြင်း။ ၎င်းသည် ဤနေရာတွင် အထူးရေပန်းစားသေးသော်လည်း နိုင်ငံခြားတွင် အလုပ်လုပ်ပါက၊ အသုံးပြု၍မရသော သို့မဟုတ် ပြုပြင်မွမ်းမံနိုင်သော open source အစိတ်အပိုင်းကို အသုံးပြုရန်အတွက် အခွန်အခကို အခါအားလျော်စွာ ရရှိနိုင်သည်။ လိုင်စင်ရ စာကြည့်တိုက်၏ မူဝါဒအရ၊ ကျွန်ုပ်တို့ ဒါကို မလုပ်နိုင်ပါ။ သို့မဟုတ်၊ ကျွန်ုပ်တို့ ၎င်းကို ပြုပြင်ပြီး အသုံးပြုပါက၊ ကျွန်ုပ်တို့၏ကုဒ်ကို တင်သင့်ပါသည်။ ဟုတ်ပါတယ်၊ ဘယ်သူကမှ သူတို့ရဲ့ ထုတ်ကုန်တွေရဲ့ ကုဒ်ကို မထုတ်ဝေချင်ပေမယ့် ဒါကိုလည်း သင်ကာကွယ်နိုင်ပါတယ်။

စက်မှုပတ်ဝန်းကျင်တွင် အသုံးပြုသော အစိတ်အပိုင်းများကို လေ့လာခြင်း။ ကျွန်ုပ်တို့သည် နောက်ဆုံးတွင် ဖွံ့ဖြိုးတိုးတက်မှု ပြီးမြောက်ပြီး ကျွန်ုပ်တို့၏ မိုက်ခရိုဝန်ဆောင်မှု၏ နောက်ဆုံးထွက်ရှိမှုကို ထုတ်ပြန်သည့် ဟန်ချက်ညီသော အခြေအနေတစ်ခုကို စိတ်ကူးကြည့်ကြပါစို့။ တစ်ပတ်၊ တစ်လ၊ တစ်နှစ်။ ကျွန်ုပ်တို့မစုဆောင်းပါ၊ လုံခြုံရေးစစ်ဆေးမှုများ မလုပ်ပါ၊ အားလုံးအဆင်ပြေနေပုံရသည်။ သို့သော် ထုတ်ဝေပြီး နှစ်ပတ်အကြာတွင် ရုတ်တရက်၊ စက်မှုလုပ်ငန်းပတ်ဝန်းကျင်တွင် ကျွန်ုပ်တို့အသုံးပြုသည့် Open Source အစိတ်အပိုင်းတွင် အရေးကြီးသောအားနည်းချက်တစ်ခု ပေါ်လာပါသည်။ ကျွန်ုပ်တို့သည် မည်သည့်နေရာနှင့် အသုံးပြုသည်ကို မှတ်တမ်းတင်မထားပါက၊ ဤအားနည်းချက်ကို ကျွန်ုပ်တို့ တွေ့ရမည်မဟုတ်ပါ။ အချို့သော ကိရိယာများသည် စက်မှုလုပ်ငန်းတွင် လက်ရှိအသုံးပြုနေသည့် စာကြည့်တိုက်များရှိ အားနည်းချက်များကို စောင့်ကြည့်ရန် စွမ်းရည်ရှိသည်။ အလွန်အသုံးဝင်သည်။

အင်္ဂါရပ်များ:

• ဖွံ့ဖြိုးတိုးတက်မှုအဆင့်များအတွက် မတူညီသောမူဝါဒများ။
• စက်မှုပတ်ဝန်းကျင်ရှိ အစိတ်အပိုင်းများကို စောင့်ကြည့်ခြင်း။
• အဖွဲ့အစည်းအတွင်း စာကြည့်တိုက်များ ထိန်းချုပ်ခြင်း။
• အမျိုးမျိုးသောတည်ဆောက်မှုစနစ်များနှင့်ဘာသာစကားများအတွက်ပံ့ပိုးမှု။
• Docker ပုံများကို လေ့လာခြင်း။

Open Source ခွဲခြမ်းစိတ်ဖြာမှုတွင် ပါဝင်နေသော လုပ်ငန်းခေါင်းဆောင်များ၏ နမူနာအချို့။

တစ်ခုတည်းသော အလကားကတော့ ဒါပါပဲ။ မှီခိုမှု-စစ်ဆေးခြင်း။ OWASP မှ ၎င်းကို ပထမအဆင့်တွင် သင်ဖွင့်နိုင်သည်၊ ၎င်းသည် မည်သို့အလုပ်လုပ်ကြောင်းနှင့် ၎င်းကို ပံ့ပိုးပေးသည်ကို ကြည့်ရှုနိုင်သည်။ အခြေခံအားဖြင့်၊ ၎င်းတို့အားလုံးသည် cloud ထုတ်ကုန်များ သို့မဟုတ် ပရဝုဏ်အတွင်းတွင်သာ ဖြစ်ကြသော်လည်း ၎င်းတို့၏ အခြေခံနောက်ကွယ်တွင် ၎င်းတို့ကို အင်တာနက်သို့ ပေးပို့နေဆဲဖြစ်သည်။ ၎င်းတို့သည် သင့်စာကြည့်တိုက်များကို မပို့ဘဲ ၎င်းတို့တွက်ချက်ထားသည့် ဟက်ကာများ သို့မဟုတ် ၎င်းတို့၏ကိုယ်ပိုင်တန်ဖိုးများနှင့် အားနည်းချက်များရှိနေခြင်းဆိုင်ရာ အချက်အလက်များကို ရယူရန်အတွက် ၎င်းတို့၏ဆာဗာသို့ လက်ဗွေရာများကို ပေးပို့ပါသည်။

လုပ်ငန်းစဉ်ပေါင်းစပ်

စာကြည့်တိုက်များ၏ပတ်လည်ထိန်းချုပ်မှုပြင်ပအရင်းအမြစ်များမှ ဒေါင်းလုဒ်လုပ်ထားသည်။ ကျွန်ုပ်တို့တွင် ပြင်ပနှင့် အတွင်းပိုင်း သိုလှောင်မှုများရှိသည်။ ဥပမာအားဖြင့်၊ Event Central သည် Nexus ကိုလုပ်ဆောင်ပြီး ကျွန်ုပ်တို့၏သိုလှောင်ခန်းအတွင်း "အရေးပါသော" သို့မဟုတ် "မြင့်မားသော" အခြေအနေဖြင့် ကျွန်ုပ်တို့၏သိုလှောင်ခန်းအတွင်း အားနည်းချက်များမရှိကြောင်း သေချာစေလိုပါသည်။ ထိုသို့သော အားနည်းချက်များကို ဖြတ်တောက်ပြီး စက်တွင်းသိုလှောင်မှုတွင် မကုန်ဆုံးစေရန် Nexus Firewall Lifecycle တူးလ်ကို အသုံးပြု၍ proxying ပြုလုပ်ခြင်းကို သင် configure လုပ်နိုင်ပါသည်။

CI တွင် ပေါင်းစပ်ခြင်း။. တူညီသောအဆင့်တွင် autotests၊ ယူနစ်စမ်းသပ်မှုများနှင့် ဖွံ့ဖြိုးတိုးတက်မှုအဆင့်များ- dev၊ test၊ prod။ အဆင့်တစ်ခုစီတွင် သင်သည် မည်သည့်စာကြည့်တိုက်ကိုမဆို ဒေါင်းလုဒ်လုပ်နိုင်သည်၊ မည်သည့်အရာကိုမဆို အသုံးပြုနိုင်သော်လည်း၊ "အရေးပါသော" အနေအထားတွင် ခက်ခဲသောအရာတစ်ခုခုရှိနေပါက ထုတ်လုပ်သူမှ ထုတ်လုပ်သည့်အဆင့်တွင် ဤအရာကို developer များ၏ အာရုံစိုက်မှုကို ဆွဲဆောင်နိုင်မည်ဖြစ်သည်။

ပစ္စည်းများနှင့် ပေါင်းစပ်ခြင်း။Nexus နှင့် JFrog။

ဖွံ့ဖြိုးတိုးတက်ရေးပတ်ဝန်းကျင်တွင် ပေါင်းစည်းခြင်း။ သင်ရွေးချယ်သည့်ကိရိယာများသည် ဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်များနှင့် ပေါင်းစပ်မှုရှိသင့်သည်။ ဆော့ဖ်ဝဲရေးသားသူသည် ၎င်း၏လုပ်ငန်းခွင်မှ စကင်ဖတ်စစ်ဆေးခြင်းရလဒ်များကို ဝင်ရောက်ကြည့်ရှုခွင့်ရှိရမည်၊ သို့မဟုတ် CVS တွင် မပါဝင်မီ အားနည်းချက်များအတွက် သူ့ကိုယ်သူ စကင်ဖတ်စစ်ဆေးပြီး ကုဒ်ကို စစ်ဆေးနိုင်စွမ်းရှိရမည်။

CD ပေါင်းစပ်ခြင်း။ ဤသည်မှာ ကျွန်တော်တကယ်နှစ်သက်ပြီး ကျွန်တော်ပြောထားပြီးဖြစ်သည့် အလွန်အေးမြသောအင်္ဂါရပ်ဖြစ်သည်- စက်မှုပတ်ဝန်းကျင်တွင် အားနည်းချက်အသစ်များ ပေါ်ပေါက်လာမှုကို စောင့်ကြည့်ခြင်း။ ၎င်းသည်ဤကဲ့သို့သောအရာတစ်ခုလုပ်ဆောင်သည်။

ကြှနျုပျတို့မှာ ... ရှိသညျ Public Component Repositories - ပြင်ပကိရိယာအချို့နှင့် ကျွန်ုပ်တို့၏အတွင်းပိုင်းသိုလှောင်မှု။ ယုံကြည်ရသော အစိတ်အပိုင်းများသာ ပါဝင်စေလိုပါသည်။ တောင်းဆိုချက်တစ်ခုကို ပရောက်စီပေးသည့်အခါ၊ ဒေါင်းလုဒ်လုပ်ထားသော ဒစ်ဂျစ်တိုက်တွင် အားနည်းချက်များ မရှိကြောင်း စစ်ဆေးပါသည်။ ကျွန်ုပ်တို့သတ်မှတ်ထားသည့် အချို့သောမူဝါဒများအောက်တွင် ရှိနေပြီး ဖွံ့ဖြိုးတိုးတက်မှုနှင့် လိုအပ်သလို ညှိနှိုင်းဆောင်ရွက်ပါက ၎င်းကို ကျွန်ုပ်တို့ အပ်လုဒ်မလုပ်ဘဲ အခြားဗားရှင်းကို အသုံးပြုရန် နှိုးဆော်ထားသည်။ ထို့ကြောင့်၊ ဒစ်ဂျစ်တိုက်တွင် အမှန်တကယ် အရေးကြီးပြီး ဆိုးရွားပါက၊ ဆော့ဖ်ဝဲအင်ဂျင်နီယာသည် တပ်ဆင်မှုအဆင့်တွင် စာကြည့်တိုက်ကို လက်ခံရရှိမည်မဟုတ်ပါ - ဗားရှင်းအထက် သို့မဟုတ် နိမ့်သောဗားရှင်းကို အသုံးပြုခွင့်ပေးလိုက်ပါ။

• တည်ဆောက်သည့်အခါတွင်၊ အစိတ်အပိုင်းအားလုံးသည် ဘေးကင်းလုံခြုံပြီး flash drive တွင် အန္တရာယ်တစ်စုံတစ်ရာ ယူဆောင်လာခြင်းမရှိကြောင်း ကျွန်ုပ်တို့စစ်ဆေးပါသည်။
• ကျွန်ုပ်တို့တွင် သိုလှောင်မှုတွင် ယုံကြည်ရသော အစိတ်အပိုင်းများသာရှိသည်။
• အသုံးချသည့်အခါ၊ ၎င်းသည် မူဝါဒနှင့် ကိုက်ညီကြောင်း သေချာစေရန် ပက်ကေ့ခ်ျကိုယ်တိုင် ထပ်မံစစ်ဆေးပါ- war၊ jar၊ DL သို့မဟုတ် Docker ပုံ။
• စက်မှုလုပ်ငန်းသို့ ဝင်ရောက်သောအခါ၊ ကျွန်ုပ်တို့သည် စက်မှုပတ်ဝန်းကျင်တွင် ဖြစ်ပျက်နေသည်များကို စောင့်ကြည့်သည်- အရေးကြီးသော အားနည်းချက်များ ပေါ်လာသည် သို့မဟုတ် မပေါ်ပါ။

Dynamic Analysis - DAST

ဒိုင်းနမစ်ခွဲခြမ်းစိတ်ဖြာခြင်းကိရိယာများသည် ယခင်ကပြောခဲ့သည့်အရာအားလုံးနှင့် အခြေခံအားဖြင့် ကွဲပြားပါသည်။ ၎င်းသည် အပလီကေးရှင်းဖြင့် အသုံးပြုသူ၏ လုပ်ဆောင်မှုကို အတုယူခြင်းတစ်မျိုးဖြစ်သည်။ ၎င်းသည် ဝဘ်အက်ပလီကေးရှင်းဖြစ်ပါက၊ ကျွန်ုပ်တို့သည် တောင်းဆိုချက်များပေးပို့သည်၊ ကလိုင်းယင့်၏အလုပ်ကို ပုံဖော်ခြင်း၊ ရှေ့ရှိ ခလုတ်များကို နှိပ်ပါ၊ ဖောင်မှ အချက်အလက်အတုများ ပေးပို့ပါ- ကိုးကားချက်များ၊ ကွင်းပိတ်များ၊ မတူညီသော ကုဒ်နံပါတ်များရှိ ဇာတ်ကောင်များ၊ အပလီကေးရှင်း၏ အလုပ်လုပ်ပုံနှင့် လုပ်ငန်းစဉ်များကို ကြည့်ရှုရန်၊ ပြင်ပဒေတာ။

တူညီသောစနစ်သည် Open Source တွင် ပုံစံပလိတ်အားနည်းချက်များကို စစ်ဆေးနိုင်စေပါသည်။ ကျွန်ုပ်တို့အသုံးပြုနေသည့် Open Source ကို DAST မသိသောကြောင့်၊ ၎င်းသည် "အန္တရာယ်ရှိသော" ပုံစံများကို ရိုးရိုးရှင်းရှင်းပစ်လိုက်ပြီး ဆာဗာ၏တုံ့ပြန်မှုများကို ပိုင်းခြားစိတ်ဖြာပါသည်။

- ဟုတ်တယ်၊ ဒီမှာ ဖယ်ခွာတဲ့ ပြဿနာ ရှိတယ်၊ ဒါပေမယ့် ဒီမှာ မဟုတ်ဘူး။

အဘယ်ကြောင့်ဆိုသော် သင်သည် ဤလုံခြုံရေးစစ်ဆေးမှုကို စမ်းသပ်သူများနှင့်အတူ အလုပ်လုပ်သော ခုံတန်းရှည်တစ်ခုတွင် ပြုလုပ်ပါက၊ မနှစ်မြို့ဖွယ်အရာများ ဖြစ်ပွားနိုင်သောကြောင့် ၎င်းတွင် ကြီးမားသောအန္တရာယ်များရှိပါသည်။

• အပလီကေးရှင်းဆာဗာကွန်ရက်တွင် မြင့်မားသောဝန်။
• ပေါင်းစည်းခြင်း မရှိပါ။
• ခွဲခြမ်းစိတ်ဖြာထားသော အပလီကေးရှင်း၏ ဆက်တင်များကို ပြောင်းလဲနိုင်သည်။
• လိုအပ်သောနည်းပညာများကို ပံ့ပိုးပေးခြင်းမရှိပါ။
• သတ်မှတ်ရန်ခက်ခဲခြင်း။

နောက်ဆုံးတွင် AppScan ကိုဖွင့်လိုက်သောအခါ ကျွန်ုပ်တို့တွင် အခြေအနေတစ်ခုရှိပါသည်- ကျွန်ုပ်တို့သည် အက်ပ်လီကေးရှင်းသို့ဝင်ရောက်ခွင့်ရရန် ကြိုးစားရင်း အချိန်အတော်ကြာအောင် ကြိုးစားခဲ့ရသည်၊ အကောင့် 3 ခုရခဲ့ပြီး ပျော်ရွှင်ခဲ့ကြသည်- နောက်ဆုံးတွင် အရာအားလုံးကို စစ်ဆေးပါမည်။ ကျွန်ုပ်တို့သည် စကင်န်တစ်ခုကို စတင်လိုက်ပြီး၊ AppScan ၏ ပထမဆုံးအရာမှာ စီမံခန့်ခွဲသူဘောင်သို့သွားကာ ခလုတ်များအားလုံးကို ထိုးဖောက်ကာ ဒေတာတစ်ဝက်ကို ပြောင်းလဲပြီးနောက် ဆာဗာကို ၎င်းဖြင့် အပြီးသတ်သတ်ပစ်လိုက်ခြင်းဖြစ်သည်။ မေးလ်ဖောင်- တောင်းဆိုချက်များ။ စမ်းသပ်မှုနှင့်အတူ ဖွံ့ဖြိုးတိုးတက်မှု က ပြောသည်။

ဟေ့ကောင်တွေ မင်း ငါ့ကို နောက်နေတာလား ! ကျွန်ုပ်တို့သည် သင့်အား အကောင့်များပေး၍ ရပ်တည်ချက်တစ်ခု ထူထောင်ပါ။

ဖြစ်နိုင်ခြေအန္တရာယ်များကို ထည့်သွင်းစဉ်းစားပါ။ အကောင်းဆုံးအားဖြင့်၊ အခြားပတ်ဝန်းကျင်မှ အနည်းဆုံး တစ်နည်းနည်းဖြင့် သီးခြားခွဲထုတ်မည့် သတင်းအချက်အလက်လုံခြုံရေး စမ်းသပ်မှုအတွက် သီးခြားရပ်တည်ချက်ကို ပြင်ဆင်ပြီး ဖြစ်နိုင်ရင် manual mode တွင် စီမံခန့်ခွဲသူဘောင်ကို အခြေအနေအရ စစ်ဆေးပါ။ ဤသည်မှာ ကျွန်ုပ်တို့ မစဉ်းစားရသေးသော အားထုတ်မှု၏ ကျန်ရာခိုင်နှုန်းများကို လေးနက်စေပါသည်။

၎င်းကို Load testing ၏ analogue တစ်ခုအဖြစ် သင်သုံးနိုင်သည်ဟု ထည့်သွင်းစဉ်းစားသင့်ပါသည်။ ပထမအဆင့်တွင်၊ သင်သည် 10-15 threads ပါသော dynamic scanner ကိုဖွင့်ပြီး ဘာဖြစ်သည်ကိုမြင်နိုင်သော်လည်း များသောအားဖြင့် လက်တွေ့ပြသထားသည့်အတိုင်း ဘာမှမကောင်းပါ။

ကျွန်ုပ်တို့အသုံးပြုလေ့ရှိသော အရင်းအမြစ်အနည်းငယ်။

မီးမောင်းထိုးပြထိုက်သည်။ Burp Suite လုံခြုံရေးပညာရှင်တိုင်းအတွက် "ဆွဇ်ဓား" ဖြစ်၏။ လူတိုင်းသုံးကြပြီး အရမ်းအဆင်ပြေပါတယ်။ လုပ်ငန်းထုတ်ဝေမှု၏သရုပ်ပြဗားရှင်းအသစ်ကို ယခုထွက်ရှိလာပါပြီ။ အကယ်၍ အစောပိုင်းက ၎င်းသည် plugins များပါသည့် သီးသန့် utility တစ်ခုမျှသာဖြစ်ခဲ့ပါက၊ ယခုအခါ developer များသည် အေးဂျင့်များစွာကို စီမံခန့်ခွဲနိုင်သည့် ကြီးမားသောဆာဗာတစ်ခုကို ဖန်တီးနေပြီဖြစ်သည်။ ဒါလေးကောင်းတယ်၊ စမ်းသုံးကြည့်ဖို့ အကြံပြုချင်ပါတယ်။

လုပ်ငန်းစဉ်ပေါင်းစပ်

ပေါင်းစည်းခြင်းသည် အတော်လေး ကောင်းမွန်ပြီး ရိုးရှင်းပါသည်။ တပ်ဆင်မှု အောင်မြင်ပြီးနောက် စကင်န်ဖတ်ခြင်း စတင်ပါ။ ရပ်တည်မှုအတွက်လျှောက်လွှာများနှင့် ပေါင်းစပ်စမ်းသပ်မှု အောင်မြင်ပြီးနောက် စကန်ဖတ်ခြင်း။.

ပေါင်းစည်းမှုများ အလုပ်မလုပ်ပါက သို့မဟုတ် stubs နှင့် mock function များရှိနေပါက၊ ၎င်းသည် အဓိပ္ပါယ်မဲ့ပြီး အသုံးမဝင်ပါ - ကျွန်ုပ်တို့ ပေးပို့သည့်ပုံစံ မည်သို့ပင်ရှိစေကာမူ ဆာဗာသည် ထိုနည်းအတိုင်းပင် တုံ့ပြန်မည်ဖြစ်ပါသည်။

• အကောင်းဆုံးကတော့ သီးခြားစမ်းသပ်မှုတစ်ခုပါ။
• စမ်းသပ်ခြင်းမပြုမီ၊ အကောင့်ဝင်ခြင်းအစီအစဉ်ကို ချရေးပါ။
• အုပ်ချုပ်မှုစနစ်အား စမ်းသပ်ခြင်းသည် လူကိုယ်တိုင်သာ ဖြစ်သည်။

ဖြစ်စဉ်

ယေဘုယျအားဖြင့် လုပ်ငန်းစဉ်အကြောင်းနှင့် အထူးသဖြင့် tool တစ်ခုစီ၏ အလုပ်အကြောင်း အနည်းငယ် ယေဘုယျဖော်ပြပါသည်။ အပလီကေးရှင်းအားလုံးသည် ကွဲပြားသည် - တစ်ခုသည် တက်ကြွသော ခွဲခြမ်းစိတ်ဖြာမှုဖြင့် ပိုမိုကောင်းမွန်စွာ လုပ်ဆောင်နိုင်သည်၊ နောက်တစ်ခုသည် တည်ငြိမ်မှုဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုဖြင့်၊ တတိယတစ်ခုသည် OpenSource ခွဲခြမ်းစိတ်ဖြာမှု၊ pentests သို့မဟုတ် အခြားအရာတစ်ခုခုဖြင့် ဥပမာအားဖြင့်၊ ဖြစ်ရပ်များနှင့် waf.

လုပ်ငန်းစဉ်တိုင်းကို ထိန်းချုပ်ရန် လိုအပ်သည်။

လုပ်ငန်းစဉ်တစ်ခု အလုပ်လုပ်ပုံနှင့် ၎င်းကို ပိုမိုကောင်းမွန်အောင်ပြုလုပ်နိုင်သည့်နေရာတို့ကို နားလည်ရန်၊ ထုတ်လုပ်မှုမက်ထရစ်များ၊ ကိရိယာများမှ မက်ထရစ်များနှင့် ချို့ယွင်းမှုခြေရာခံကိရိယာများအပါအဝင် သင်လက်လှမ်းမီနိုင်သည့်အရာအားလုံးထံမှ မက်ထရစ်များကို စုဆောင်းရန်လိုအပ်သည်။

မည်သည့်အချက်အလက်မဆို အသုံးဝင်သည်။ ဤ သို့မဟုတ် ထိုကိရိယာကို ပိုမိုကောင်းမွန်စွာအသုံးပြုသည့်နေရာတွင် မတူညီသောရှုထောင့်မှကြည့်ရန် လိုအပ်ပြီး လုပ်ငန်းစဉ်မှာ အထူးလျော့ပါးသွားပါသည်။ အချိန်ကိုအခြေခံ၍ လုပ်ငန်းစဉ်ကို မြှင့်တင်ရမည့်နေရာကို ကြည့်ရန် ဖွံ့ဖြိုးတိုးတက်မှုတုံ့ပြန်မှုအချိန်များကို ကြည့်ရှုရကျိုးနပ်ပေမည်။ ဒေတာများလေလေ၊ ထိပ်တန်းအဆင့်မှ လုပ်ငန်းစဉ်တစ်ခုစီ၏အသေးစိတ်အထိ အပိုင်းများ ပိုမိုတည်ဆောက်နိုင်လေဖြစ်သည်။

static and dynamic ခွဲခြမ်းစိတ်ဖြာသူတိုင်းတွင် ၎င်းတို့၏ ကိုယ်ပိုင် API များ ရှိသောကြောင့်၊ ၎င်းတို့၏ ကိုယ်ပိုင် launch နည်းလမ်းများ၊ အခြေခံမူများ၊ အချို့မှာ အချိန်ဇယားဆွဲသူများ ရှိကြပြီး၊ အချို့မှာ မပါရှိသောကြောင့် - ကျွန်ုပ်တို့သည် tool တစ်ခုကို ရေးနေပါသည်။ AppSec သံစုံတီးဝိုင်းထုတ်ကုန်မှ လုပ်ငန်းစဉ်တစ်ခုလုံးသို့ တစ်ခုတည်းသော entry point တစ်ခုကို ဖန်တီးပြီး အမှတ်တစ်ခုမှ စီမံခန့်ခွဲနိုင်စေပါသည်။

မန်နေဂျာများ၊ ဆော့ဖ်ဝဲအင်ဂျင်နီယာများနှင့် လုံခြုံရေးအင်ဂျင်နီယာများသည် ၎င်းတို့လုပ်ဆောင်နေသည့်အရာကို မြင်နိုင်သည်၊ စကင်န်ပြင်ဆင်ပြီး လုပ်ဆောင်နိုင်သည်၊ စကင်န်ရလဒ်များကို လက်ခံရရှိကာ လိုအပ်ချက်များကို တင်သွင်းနိုင်စေမည့် ဝင်ခွင့်အမှတ်တစ်ခုရှိသည်။ ဖွံ့ဖြိုးတိုးတက်မှုမှအသုံးပြုသည့်အရာအားလုံးကို လူသားတစ်ဦးအဖြစ်သို့ ဘာသာပြန်ရန် ကျွန်ုပ်တို့ကြိုးစားနေပါသည် - အခြေအနေနှင့် မက်ထရစ်များပါသော မြစ်ဆုံပေါ်ရှိ စာမျက်နှာများ၊ Jira တွင် ချို့ယွင်းချက်များ သို့မဟုတ် ချို့ယွင်းချက်အမျိုးမျိုးကို ခြေရာခံသူများ သို့မဟုတ် CI တွင် synchronous/asynchronous လုပ်ငန်းစဉ်သို့ ပေါင်းစည်းခြင်း /CD

Key ကို Takeaways

Tools တွေက အဓိကမဟုတ်ပါဘူး။ ပထမဦးစွာ လုပ်ငန်းစဉ်ကို စဉ်းစားပါ၊ ထို့နောက် ကိရိယာများကို အကောင်အထည်ဖော်ပါ။ ကိရိယာများသည် ကောင်းမွန်သော်လည်း စျေးကြီးသောကြောင့် သင်သည် လုပ်ငန်းစဉ်ဖြင့် စတင်နိုင်ပြီး ဖွံ့ဖြိုးတိုးတက်မှုနှင့် လုံခြုံရေးအကြား ဆက်သွယ်ရေးနှင့် နားလည်မှုတို့ကို တည်ဆောက်နိုင်သည်။ ဘေးကင်းရေး ရှုထောင့်မှကြည့်လျှင် အရာအားလုံးကို “ရပ်” ရန် မလိုအပ်ပါ။ဖွံ့ဖြိုးတိုးတက်မှု ရှုထောင့်မှ ကြည့်လျှင် အလွန်ကြီးမားသော အလွန်အရေးကြီးသော အရာတစ်ခု ရှိပါက ၎င်းကို ဖယ်ရှားပစ်ရန် လိုအပ်ပြီး ပြဿနာကို နှာစေးခြင်း မပြုပါနှင့်။

ထုတ်ကုန်အရည်အသွေး - ဘုံရည်မှန်းချက် လုံခြုံရေးရော ဖွံ့ဖြိုးတိုးတက်ရေးရော။ ကျွန်ုပ်တို့သည် အရာတစ်ခုလုပ်ဆောင်သည်၊ အားလုံးမှန်ကန်စွာအလုပ်လုပ်ပြီး ဂုဏ်သိက္ခာဆိုင်ရာအန္တရာယ်များ သို့မဟုတ် ငွေကြေးဆုံးရှုံးမှုမရှိကြောင်း သေချာစေရန် ကျွန်ုပ်တို့ကြိုးစားပါသည်။ ထို့ကြောင့် ကျွန်ုပ်တို့သည် ဆက်သွယ်ရေးကို မြှင့်တင်ရန်နှင့် ထုတ်ကုန်၏ အရည်အသွေးကို မြှင့်တင်ရန် DevSecOps၊ SecDevOps ချဉ်းကပ်နည်းကို မြှင့်တင်ပါသည်။

သင့်မှာ ရှိပြီးသားအရာတွေနဲ့ စတင်လိုက်ပါ။: လိုအပ်ချက်များ၊ ဗိသုကာပညာ၊ တစ်စိတ်တစ်ပိုင်း စစ်ဆေးမှုများ၊ သင်တန်းများ၊ လမ်းညွှန်ချက်များ။ ပရောဂျက်အားလုံးတွင် အလေ့အကျင့်အားလုံးကို ချက်ချင်းအသုံးချရန် မလိုအပ်ပါ။ အထပ်ထပ် ရွှေ့ပါ။. စံနှုန်းတစ်ခုတည်း မရှိပါဘူး- စမ်းသပ်မှု မတူညီသော နည်းလမ်းများနှင့် ဖြေရှင်းနည်းများကို ကြိုးစားပါ။

သတင်းအချက်အလက် လုံခြုံရေး ချို့ယွင်းချက်နှင့် လုပ်ဆောင်မှုဆိုင်ရာ ချို့ယွင်းချက်များကြား တူညီသော လက္ခဏာတစ်ခု ရှိသည်။.

အရာအားလုံးကို အလိုအလျောက်လုပ်ပါ။ရွေ့လျားသည်။ မရွေ့ဘဲ၊ ရွှေ့ပြီး အလိုအလျောက်လုပ်ပါ။ တစ်ခုခုကို လက်နဲ့လုပ်ရင် ဒါဟာ လုပ်ငန်းစဉ်ရဲ့ ကောင်းမွန်တဲ့ အစိတ်အပိုင်းတစ်ခုတော့ မဟုတ်ပါဘူး။ ၎င်းကို ပြန်လည်သုံးသပ်ပြီး အလိုအလျောက်ပြန်လုပ်ခြင်းသည်လည်း တန်ဖိုးရှိပေမည်။

IS အဖွဲ့၏ အရွယ်အစားသည် သေးငယ်ပါက၊ Security Champions ကိုသုံးပါ။.

ငါပြောခဲ့တာတွေက မင်းနဲ့မကိုက်ညီဘဲ မင်းရဲ့ကိုယ်ပိုင်အရာတစ်ခုပေါ်လာလိမ့်မယ်- အဲဒါကောင်းတယ်။ ဒါပေမယ့် သင့်လုပ်ငန်းစဉ်အတွက် လိုအပ်ချက်များအပေါ်အခြေခံ၍ ကိရိယာများကို ရွေးချယ်ပါ။. ဒီကိရိယာက မကောင်းသလို ဒီကိရိယာက ကောင်းတယ်လို့ အသိုင်းအဝိုင်းက ပြောတာကို မကြည့်ပါနဲ့။ သင့်ထုတ်ကုန်အတွက် ဆန့်ကျင်ဘက်ဖြစ်ကောင်းဖြစ်နိုင်သည်။

ကိရိယာများအတွက်လိုအပ်ချက်များ။

• အဆင့်နိမ့် False Positive။
• လုံလောက်သောခွဲခြမ်းစိတ်ဖြာမှုအချိန်။
• အသုံးပြုမှုအဆင်ပြေ။
• ပေါင်းစပ်ရရှိနိုင်မှု။
• ထုတ်ကုန်ဖွံ့ဖြိုးတိုးတက်ရေး လမ်းပြမြေပုံကို နားလည်ခြင်း။
• ကိရိယာများကို စိတ်ကြိုက်ပြင်ဆင်နိုင်ခြေ။

Yuri ၏အစီရင်ခံစာကို DevOpsConf 2018 တွင်အကောင်းဆုံးများထဲမှတစ်ခုအဖြစ်ရွေးချယ်ခဲ့သည်။ ပိုမိုစိတ်ဝင်စားစရာကောင်းသောအကြံဥာဏ်များနှင့်လက်တွေ့ဖြစ်ရပ်များကိုသိရန်၊ မေလ 27 နှင့် 28 ရက်များတွင် Skolkovo သို့လာရောက်ပါ။ DevOpsConf အတွင်း RIT++ ပွဲတော်. သင့်အတွေ့အကြုံကို မျှဝေဖို့ အဆင်သင့်ဖြစ်ရင် ပိုကောင်းပါတယ်။ လျှောက်ထားပါ။ ဧပြီလ ၂၁ ရက်နေ့အထိ အစီရင်ခံစာအတွက်

source: www.habr.com