အားနည်းချက်ကို စကင်န်ဖတ်ခြင်းနှင့် လုံခြုံသော ဖွံ့ဖြိုးတိုးတက်မှု။ အပိုင်း 1

၎င်းတို့၏ ပရော်ဖက်ရှင်နယ် လှုပ်ရှားမှုများ၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့်၊ developer၊ pentesters နှင့် security professionals များသည် Vulnerability Management (VM), (Secure) SDLC ကဲ့သို့သော လုပ်ငန်းစဉ်များကို ကိုင်တွယ်ဖြေရှင်းရမည်ဖြစ်သည်။
ဤစကားစုများအောက်တွင် ၎င်းတို့၏အသုံးပြုသူများ ကွဲပြားသော်လည်း ရောယှက်အသုံးပြုသော အလေ့အကျင့်အစုံနှင့် ကိရိယာအစုံအလင်ရှိသည်။

အခြေခံအဆောက်အအုံနှင့် ဆော့ဖ်ဝဲလ်များ၏ လုံခြုံရေးကို ခွဲခြမ်းစိတ်ဖြာရန် ကိရိယာတစ်ခုသည် လူတစ်ဦးကို အစားထိုးနိုင်သည့် နည်းပညာဆိုင်ရာ တိုးတက်မှုအဆင့်သို့ မရောက်သေးပါ။
ဘာကြောင့် ဒီလိုဖြစ်ရတာလဲဆိုတာ နားလည်ဖို့ စိတ်ဝင်စားဖို့ကောင်းပြီး ဘယ်လိုပြဿနာတွေကို ရင်ဆိုင်ရမလဲဆိုတာပါပဲ။

လုပ်ငန်းစဉ်များ

Vulnerability Management လုပ်ငန်းစဉ်သည် အခြေခံအဆောက်အဦ လုံခြုံရေးနှင့် patch စီမံခန့်ခွဲမှုကို စဉ်ဆက်မပြတ် စောင့်ကြည့်ရန် ဒီဇိုင်းထုတ်ထားသည်။
Secure SDLC လုပ်ငန်းစဉ် ("secure development cycle") သည် ဖွံ့ဖြိုးတိုးတက်မှုနှင့် လည်ပတ်မှုအတွင်း အက်ပ်လီကေးရှင်းလုံခြုံရေးကို ထိန်းသိမ်းရန် ဒီဇိုင်းထုတ်ထားသည်။

ဤလုပ်ငန်းစဉ်များ၏ အလားတူ အစိတ်အပိုင်းမှာ အားနည်းချက် အကဲဖြတ်ခြင်း လုပ်ငန်းစဉ် - အားနည်းချက် အကဲဖြတ်ခြင်း၊ အားနည်းချက်ကို စကင်န်ဖတ်ခြင်း ဖြစ်သည်။
VM နှင့် SDLC အတွင်းစကင်န်ဖတ်ခြင်းကြား အဓိကကွာခြားချက်မှာ ပထမကိစ္စတွင်၊ ရည်ရွယ်ချက်မှာ ပြင်ပဆော့ဖ်ဝဲ သို့မဟုတ် ဖွဲ့စည်းမှုတစ်ခုတွင် သိထားသည့် အားနည်းချက်များကို ရှာဖွေရန်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ Windows ၏ ခေတ်မမီသောဗားရှင်းတစ်ခု သို့မဟုတ် SNMP အတွက် မူရင်းအသိုင်းအဝိုင်းစာကြောင်း။
ဒုတိယကိစ္စတွင်၊ ရည်ရွယ်ချက်မှာ ပြင်ပကုမ္ပဏီအစိတ်အပိုင်းများ (မှီခိုမှု) တွင်သာမက ထုတ်ကုန်အသစ်၏ ကုဒ်များတွင် အားနည်းချက်များကို ရှာဖွေရန်ဖြစ်သည်။

၎င်းသည် ကိရိယာများနှင့် ချဉ်းကပ်မှုများတွင် ကွဲပြားမှုများကို ဖြစ်ပေါ်စေသည်။ ကျွန်ုပ်၏အမြင်အရ၊ အက်ပလီကေးရှင်းတစ်ခုတွင် အားနည်းချက်အသစ်များရှာဖွေခြင်းတာဝန်မှာ လက်ဗွေနှိပ်ခြင်း၊ နဖူးစည်းစာတန်းစုဆောင်းခြင်း၊ စကားဝှက် brute force စသည်တို့တွင် မပါသောကြောင့် ပိုမိုစိတ်ဝင်စားစရာကောင်းပါသည်။
အရည်အသွေးမြင့် အပလီကေးရှင်း အားနည်းချက်များကို အလိုအလျောက်စကင်န်ဖတ်ခြင်းသည် အပလီကေးရှင်း၏ semantics၊ ၎င်း၏ရည်ရွယ်ချက်နှင့် သီးခြားခြိမ်းခြောက်မှုများကို ထည့်သွင်းစဉ်းစားသည့် algorithms လိုအပ်ပါသည်။

အခြေခံအဆောက်အဦစကင်နာကို အချိန်တိုင်းကိရိယာဖြင့် မကြာခဏ အစားထိုးနိုင်သည်။ avleonov. အဓိကအချက်မှာ ကိန်းဂဏန်းသက်သက်သာဖြစ်ပြီး၊ တစ်လအတွက် မွမ်းမံမွမ်းမံခြင်းမပြုပါက သင်၏အခြေခံအဆောက်အအုံကို ထိခိုက်နိုင်သည်ဟု ယူဆနိုင်ပါသည်။

တူရိယာ

စကင်န်ဖတ်ခြင်းအပြင် လုံခြုံရေးပိုင်းခြားစိတ်ဖြာခြင်းတို့ကို အနက်ရောင်သေတ္တာ သို့မဟုတ် အဖြူရောင်သေတ္တာအဖြစ် လုပ်ဆောင်နိုင်သည်။

အမည်းရောင်သေတ္တာ

blackbox စကင်န်ဖတ်ခြင်းဖြင့်၊ ကိရိယာသည် အသုံးပြုသူများ ၎င်းနှင့်အလုပ်လုပ်သော တူညီသောအင်တာဖေ့စ်များမှတဆင့် ဝန်ဆောင်မှုနှင့်အလုပ်လုပ်နိုင်ရပါမည်။

အခြေခံအဆောက်အဦစကင်နာများ (Tenable Nessus၊ Qualys၊ MaxPatrol၊ Rapid7 Nexpose စသည်ဖြင့်) ဖွင့်ထားသော ကွန်ရက်ဆိပ်ကမ်းများကို ရှာဖွေပါ၊ "နဖူးစည်းစာတန်းများကို စုဆောင်းပါ"၊ ထည့်သွင်းထားသော ဆော့ဖ်ဝဲဗားရှင်းများကို ရှာဖွေဖော်ထုတ်ကာ ဤဗားရှင်းများရှိ အားနည်းချက်များအကြောင်း အချက်အလက်များအတွက် ၎င်းတို့၏ အသိပညာအခြေခံကို ရှာဖွေပါ။ ၎င်းတို့သည် မူရင်းစကားဝှက်များ သို့မဟုတ် ဒေတာအသုံးပြုခွင့်၊ အားနည်းသော SSL လျှို့ဝှက်စာဝှက်များ စသည်တို့ကဲ့သို့ ဖွဲ့စည်းမှုဆိုင်ရာ အမှားများကို ရှာဖွေရန်လည်း ကြိုးစားကြသည်။

ဝဘ်အပလီကေးရှင်းစကင်နာများ (Acunetix WVS၊ Netsparker၊ Burp Suite၊ OWASP ZAP စသည်ဖြင့်) သည် လူသိများသော အစိတ်အပိုင်းများနှင့် ၎င်းတို့၏ဗားရှင်းများ (ဥပမာ CMS၊ ဘောင်များ၊ JS စာကြည့်တိုက်များ) ကိုလည်း ရှာဖွေနိုင်သည်။ အဓိက တွားသွားသော ခြေလှမ်းများသည် တွားသွားခြင်း နှင့် မလှုပ်မယှက် ဖြစ်နေခြင်း ဖြစ်သည်။
ကူးယူနေစဉ်အတွင်း၊ crawler သည် ရှိပြီးသား အပလီကေးရှင်း အင်တာဖေ့စ်များနှင့် HTTP ဘောင်များအကြောင်း အချက်အလက်များကို စုဆောင်းပါသည်။ fuzzing လုပ်နေစဉ်အတွင်း၊ အမှားတစ်ခုကို နှိုးဆွရန်နှင့် အားနည်းချက်တစ်ခုအား ရှာဖွေတွေ့ရှိရန်အတွက် ပြောင်းလဲမှု သို့မဟုတ် ထုတ်ပေးသည့်ဒေတာဖြင့် အစားထိုးထားသည်။

ထိုကဲ့သို့သော အပလီကေးရှင်းစကင်နာများသည် DAST နှင့် IAST အတန်းများတွင် သက်ဆိုင်သည် - အသီးသီး Dynamic and Interactive Application Security Testing။

White ကထောင့်ကွက်

whitebox ကိုစကင်န်ဖတ်ခြင်းဖြင့်၊ ကွဲပြားမှုများပိုမိုရှိသည်။
VM လုပ်ငန်းစဉ်၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့်၊ စကင်နာများ (Vulners၊ Incsecurity Couch၊ Vuls၊ Tenable Nessus စသည်ဖြင့်) ကို စစ်မှန်ကြောင်းစကင်န်ပြုလုပ်ခြင်းဖြင့် စနစ်များသို့ ဝင်ရောက်ခွင့် ပေးလေ့ရှိသည်။ ထို့ကြောင့်၊ စကင်န်နာသည် ထည့်သွင်းထားသော ပက်ကေ့ဂျ်ဗားရှင်းများနှင့် စီစဉ်သတ်မှတ်မှုဘောင်များကို ကွန်ရက်ဝန်ဆောင်မှုနဖူးစည်းများမှ မှန်းဆစရာမလိုဘဲ စနစ်မှ တိုက်ရိုက်ဒေါင်းလုဒ်လုပ်နိုင်ပါသည်။
စကင်န်သည် ပိုမိုတိကျပြီး ပြီးပြည့်စုံသည်။

အကယ်၍ ကျွန်ုပ်တို့သည် အပလီကေးရှင်းများ၏ whitebox scanning (CheckMarx၊ HP Fortify၊ Coverity၊ RIPS၊ FindSecBugs စသည်ဖြင့်) အကြောင်းပြောပါက၊ ကျွန်ုပ်တို့သည် ပုံမှန်အားဖြင့် static code ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် သက်ဆိုင်ရာ SAST အတန်းအစား တူးလ်များအသုံးပြုခြင်း - Static Application Security Testing အကြောင်း ပြောနေပါသည်။

ပြဿနာများ

စကင်န်ဖတ်ခြင်းတွင် ပြဿနာများစွာရှိသည်။ စကင်န်ဖတ်ခြင်းနှင့် လုံခြုံသော ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်များ တည်ဆောက်ခြင်းအတွက် ဝန်ဆောင်မှုပေးသည့် ဝန်ဆောင်မှု၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် ၎င်းတို့အများစုကို ပုဂ္ဂိုလ်ရေးအရ ကိုင်တွယ်ဖြေရှင်းရမည်ဖြစ်ပါသည်။

အင်ဂျင်နီယာများနှင့် ကုမ္ပဏီအသီးသီးရှိ သတင်းအချက်အလက်လုံခြုံရေးဝန်ဆောင်မှုအကြီးအကဲများနှင့် စကားပြောဆိုမှုများမှလည်း အတည်ပြုထားသော အဓိကပြဿနာ 3 ခုကို ကျွန်ုပ်ထုတ်ပြပါမည်။

ဝဘ်အက်ပလီကေးရှင်းစကင်န်ဖတ်ခြင်း ပြဿနာများ

1. အကောင်အထည်ဖော်ရန်ခက်ခဲခြင်း။ အပလီကေးရှင်းတစ်ခုစီအတွက် စကင်နာများကို အသုံးချရန်၊ စီစဉ်သတ်မှတ်ထားရန် လိုအပ်သည်၊ စကန်ဖတ်ရန်အတွက် စမ်းသပ်မှုပတ်ဝန်းကျင်ကို ခွဲဝေပေးပြီး ထိရောက်မှုရှိစေရန်အတွက် CI/CD လုပ်ငန်းစဉ်တွင် အကောင်အထည်ဖော်ရန် လိုအပ်ပါသည်။ မဟုတ်ပါက၊ ၎င်းသည် အသုံးမဝင်သော တရားဝင်လုပ်ထုံးလုပ်နည်းတစ်ခုဖြစ်ပြီး မှားယွင်းသောအပြုသဘောများကိုသာ ထုတ်ပေးမည်ဖြစ်သည်။
2. စကင်န်ကြာချိန်။ 2019 ခုနှစ်တွင်ပင် စကင်နာများသည် အင်တာဖေ့စ်များကို ပွားခြင်း၏ ညံ့ဖျင်းသောအလုပ်ဖြစ်ပြီး တူညီသောကုဒ်တွင် တာဝန်ရှိသော်လည်း ၎င်းတို့အတွက် တူညီသောကုဒ်တွင် တာဝန်ရှိသော်လည်း ၎င်းတို့အတွက် ကွဲပြားသည်ဟု မှတ်ယူကာ စာမျက်နှာတစ်ထောင်ကို ရက်ပေါင်း 10 ဘောင်တစ်ခုစီဖြင့် စကင်န်ဖတ်နိုင်သည်။ တစ်ချိန်တည်းမှာပင်၊ ဖွံ့ဖြိုးတိုးတက်မှုစက်ဝန်းအတွင်း ထုတ်လုပ်မှုကို အသုံးချရန် ဆုံးဖြတ်ချက်ကို အလျင်အမြန် ပြုလုပ်ရမည်ဖြစ်သည်။
3. ညံ့ဖျင်းသောအကြံပြုချက်များ။ စကန်နာများသည် ယေဘုယျအားဖြင့် အကြံပြုချက်များကို ပေးဆောင်ကြပြီး အန္တရာယ်အဆင့်ကို မည်ကဲ့သို့လျှော့ချရမည်ကို ဆော့ဖ်ဝဲအင်ဂျင်နီယာတစ်ဦးမှ ၎င်းတို့ထံမှ လျင်မြန်စွာနားလည်ရန် အမြဲတမ်းမဖြစ်နိုင်ပေ၊ အရေးကြီးဆုံးမှာ၊ ၎င်းကို ယခုချက်ချင်းလုပ်ဆောင်ရန် လိုအပ်သည်ဖြစ်စေ၊ မကြောက်သေးပါ။
4. အပလီကေးရှင်းအပေါ် ဖျက်လိုဖျက်ဆီးသက်ရောက်မှု။ စကန်ဖတ်စက်များသည် အက်ပလီကေးရှင်းတစ်ခုပေါ်တွင် DoS တိုက်ခိုက်မှုကို အလွယ်တကူလုပ်ဆောင်နိုင်ပြီး ၎င်းတို့သည် အဖွဲ့အစည်းအများအပြားကို ဖန်တီးနိုင်သည် သို့မဟုတ် ရှိပြီးသားအရာများကို ပြောင်းလဲနိုင်သည် (ဥပမာ၊ ဘလော့ဂ်တစ်ခုပေါ်တွင် သောင်းနှင့်ချီသော မှတ်ချက်များဖန်တီးနိုင်သည်) ထို့ကြောင့် သင်သည် စကင်န်တစ်ခုတွင် တွေးတောမနေသင့်ပါ။ ထုတ်ကုန်။
5. အားနည်းချက်ရှာဖွေခြင်း၏ အရည်အသွေးညံ့ဖျင်းခြင်း။ စကင်နာများသည် ပုံမှန်အားဖြင့် သတ်မှတ်ထားသော payloads ခင်းကျင်းမှုကို အသုံးပြုကြပြီး ၎င်းတို့၏လူသိများသော အပလီကေးရှင်းအပြုအမူနှင့် မကိုက်ညီသည့် အားနည်းချက်တစ်ခုကို အလွယ်တကူ လက်လွတ်သွားနိုင်သည်။
6. စကန်ဖတ်စက်သည် အပလီကေးရှင်း၏ လုပ်ဆောင်ချက်များကို နားမလည်ပါ။ စကင်နာများသည် “အင်တာနက်ဘဏ်”၊ “ငွေပေးချေမှု”၊ “မှတ်ချက်” ဟူသည် မည်ကဲ့သို့ဖြစ်သည်ကို စကင်နာများကိုယ်တိုင် မသိပါ။ ၎င်းတို့အတွက်၊ လင့်ခ်များနှင့် ကန့်သတ်ချက်များသာ ရှိသည်၊ ထို့ကြောင့် ဖြစ်နိုင်ချေရှိသော လုပ်ငန်းဆိုင်ရာ ယုတ္တိဗေဒဆိုင်ရာ အားနည်းချက်များစွာကို လုံးလုံးလျားလျား ဖုံးကွယ်ထားဆဲဖြစ်သည်၊ ၎င်းတို့သည် နှစ်ဆရေးထုတ်ရန်၊ အခြားသူများ၏ ဒေတာကို ID ဖြင့် ကြည့်ကြည့်ပါ သို့မဟုတ် ချိန်ခွင်လျှာကို အဝိုင်းလိုက်ပြုလုပ်ရန် ၎င်းတို့ ခန့်မှန်းမည်မဟုတ်ပါ။
7. စကင်နာဖြင့် စာမျက်နှာအသုံးအနှုန်းများကို နားလည်မှုလွဲခြင်း။ စကင်နာများသည် FAQ များကို မဖတ်နိုင်၊ captchas များကို မမှတ်မိနိုင်ပါ၊ ၎င်းတို့သည် မည်သို့ မှတ်ပုံတင်ပြီး ပြန်လည်ဝင်ရောက်ရမည်ကို ၎င်းတို့ကိုယ်တိုင် မခန့်မှန်းနိုင်ဘဲ၊ သင်သည် "logout" ကိုနှိပ်၍မရသည့်အပြင် ကန့်သတ်ဘောင်တန်ဖိုးများကို ပြောင်းလဲသည့်အခါ တောင်းဆိုချက်များကို မည်သို့လက်မှတ်ထိုးရမည်နည်း။ ရလဒ်အနေဖြင့်၊ အပလီကေးရှင်းအများစုသည် လုံးဝစကင်န်မဖတ်ရသေးပါ။

အရင်းအမြစ်ကုဒ်စကင်န်ဖတ်ခြင်း ပြဿနာများ

1. မှားလာတာ။ Static analysis သည် အပေးအယူများစွာပါဝင်သည့် ရှုပ်ထွေးသောအလုပ်တစ်ခုဖြစ်သည်။ မကြာခဏဆိုသလို သင်သည် တိကျမှုကို စွန့်လွှတ်ရမည်ဖြစ်ပြီး စျေးကြီးသော လုပ်ငန်းစကင်နာများကပင် မှားယွင်းသော အပြုသဘောများစွာကို ထုတ်ပေးပါသည်။
2. အကောင်အထည်ဖော်ရန်ခက်ခဲခြင်း။ static analysis ၏ တိကျမှုနှင့် ပြီးပြည့်စုံမှုကို တိုးမြှင့်ရန်၊ စကင်ဖတ်ခြင်းစည်းမျဉ်းများကို ပြန်လည်ပြင်ဆင်ရန် လိုအပ်ပြီး အဆိုပါစည်းမျဉ်းများကို ရေးသားခြင်းသည် အချိန်ကုန်လွန်းသည်။ တစ်ခါတစ်ရံတွင် အချို့သော bug များဖြင့် ကုဒ်ရှိ နေရာအားလုံးကို ရှာဖွေရန်နှင့် ထိုသို့သော ကိစ္စများကို သိရှိရန် စည်းကမ်းရေးရန်ထက် ၎င်းတို့ကို ပြင်ဆင်ရန် ပိုမိုလွယ်ကူသည်။
3. မှီခိုထောက်ပံ့မှု နည်းပါးခြင်း။ ပရောဂျက်ကြီးများမှာ ပရိုဂရမ်းမင်းဘာသာစကား၏ စွမ်းဆောင်ရည်ကို တိုးချဲ့ပေးသော စာကြည့်တိုက်များနှင့် ဘောင်အများအပြားပေါ်တွင် မူတည်သည်။ စကင်နာ၏ အသိပညာအခြေခံရှိ ဤဘောင်များတွင် အန္တရာယ်ရှိသောနေရာများ ("sinks") အချက်အလက်များမရှိပါက၊ ၎င်းသည် မျက်စိကွယ်စရာတစ်ခုဖြစ်လာမည်ဖြစ်ပြီး စကင်နာသည် ကုဒ်ကိုပင် နားလည်မည်မဟုတ်ပါ။
4. စကင်န်ကြာချိန်။ ကုဒ်ရှိ အားနည်းချက်များကို ရှာဖွေခြင်းသည် အယ်လဂိုရီသမ်များတွင်လည်း ခက်ခဲသော အလုပ်ဖြစ်သည်။ ထို့ကြောင့်၊ လုပ်ငန်းစဉ်သည် နှောင့်နှေးနိုင်ပြီး သိသာထင်ရှားသော ကွန်ပျူတာအရင်းအမြစ်များ လိုအပ်ပါသည်။
5. လွှမ်းခြုံမှုနည်းသည်။ အရင်းအမြစ်သုံးစွဲမှုနှင့် စကန်ဖတ်သည့်ကြာချိန်ရှိသော်လည်း၊ SAST ကိရိယာများ ဆော့ဖ်ဝဲရေးသားသူများသည် အပေးအယူများကို အားကိုးကာ ပရိုဂရမ်တစ်ခုတွင် ပါဝင်နိုင်သည့် ပြည်နယ်အားလုံးကို ခွဲခြမ်းစိတ်ဖြာရန် လိုအပ်နေသေးသည်။
6. မျိုးပွားနိုင်စွမ်းကို ရှာဖွေခြင်း။ အားနည်းချက်တစ်ခုသို့ ဦးတည်သွားစေသည့် သီးခြားလိုင်းနှင့် ခေါ်ဆိုမှုအစုအဝေးကို ညွှန်ပြခြင်းသည် ကြီးမြတ်သော်လည်း အမှန်တကယ်တွင်၊ မကြာခဏဆိုသလို စကင်ဖတ်နာသည် ပြင်ပအားနည်းချက်တစ်ခုအား စစ်ဆေးရန် လုံလောက်သောအချက်အလက်ကို မပေးတတ်ပါ။ နောက်ဆုံးတွင်၊ ချို့ယွင်းချက်သည် တိုက်ခိုက်သူအတွက် လက်လှမ်းမမီနိုင်သည့် dead code တွင်လည်း ရှိနေနိုင်သည်။

အခြေခံအဆောက်အဦစကင်ဖတ်စစ်ဆေးခြင်းကိစ္စများ

1. စာရင်းမလုံလောက်။ ကြီးမားသောအခြေခံအဆောက်အဦများ အထူးသဖြင့် ပထဝီဝင်အနေအထားအရ ခြားထားသည့်အရာများတွင်၊ မည်သည့် host များကို စကင်ဖတ်မည်ကို ရှာဖွေရန် အခက်ခဲဆုံးအရာဖြစ်သည်။ တစ်နည်းဆိုရသော် စကန်ဖတ်ခြင်းလုပ်ငန်းသည် ပိုင်ဆိုင်မှုစီမံခန့်ခွဲမှုလုပ်ငန်းနှင့် နီးကပ်စွာ ဆက်စပ်နေသည်။
2. ဦးစားပေးခြင်း မကောင်းပါ။ ကွန်ရက်စကင်နာများသည် လက်တွေ့တွင် အသုံးချ၍မရသော ချို့ယွင်းချက်များစွာဖြင့် ရလဒ်များစွာကို ထုတ်ပေးလေ့ရှိသော်လည်း တရားဝင်အားဖြင့် ၎င်းတို့၏ အန္တရာယ်အဆင့်သည် မြင့်မားသည်။ စားသုံးသူသည် အဓိပ္ပာယ်ဖွင့်ဆိုရခက်သော အစီရင်ခံစာကို လက်ခံရရှိပြီး မည်သည့်အရာကို ဦးစွာ ပြင်ဆင်ရန် လိုအပ်သည်ကို မရှင်းလင်းပါ။
3. ညံ့ဖျင်းသောအကြံပြုချက်များ။ စကင်နာအသိပညာအခြေခံတွင် အားနည်းချက်နှင့်ပတ်သက်သည့် ယေဘုယျအချက်အလက်များသာ ပါဝင်လေ့ရှိသောကြောင့် စီမံခန့်ခွဲသူများသည် Google နှင့် ချိတ်ဆက်ရမည်ဖြစ်ပါသည်။ ပြင်ရန် သီးခြား command ကို ထုတ်ပေးနိုင်သော whitebox scanner များဖြင့် အခြေအနေ အနည်းငယ် ပိုကောင်းပါသည်။
4. လက်လုပ်။ အခြေခံအဆောက်အဦများတွင် node အများအပြားရှိနိုင်သည်၊ ဆိုလိုသည်မှာ အမှားအယွင်းများစွာရှိနိုင်သည်၊ ဆိုလိုသည်မှာ အစီရင်ခံချက်တစ်ခုစီတိုင်းတွင် ခွဲခြမ်းစိတ်ဖြာပြီး ကိုယ်တိုင်ခွဲခြမ်းစိတ်ဖြာရမည်ဖြစ်ပါသည်။
5. မကောင်းသော လွှမ်းခြုံမှု။ အခြေခံအဆောက်အဦစကင်ဖတ်ခြင်း၏ အရည်အသွေးသည် အားနည်းချက်များနှင့် ဆော့ဖ်ဝဲဗားရှင်းများအကြောင်း အသိပညာအခြေခံအရွယ်အစားပေါ်တွင် တိုက်ရိုက်မူတည်သည်။ ဓမ္မဒူတ၊ ထွက်လှည့်စျေးကွက်ခေါင်းဆောင်များပင်လျှင် ပြည့်စုံသော အသိပညာအခြေခံမရှိသည့်အပြင် ခေါင်းဆောင်များမရှိသော အခမဲ့ဖြေရှင်းချက်များ၏ ဒေတာဘေ့စ်များတွင် အချက်အလက်များစွာ ရှိပါသည်။
6. ဖာထေးခြင်းဆိုင်ရာ ပြဿနာများ။ အများစုမှာ၊ အခြေခံအဆောက်အအုံဆိုင်ရာ အားနည်းချက်များကို ဖာထေးခြင်းသည် ပက်ကေ့ဂျ်တစ်ခုကို အပ်ဒိတ်လုပ်ခြင်း သို့မဟုတ် ဖွဲ့စည်းမှုဖိုင်ကို ပြောင်းလဲခြင်းဖြစ်သည်။ ဤနေရာတွင် ပြဿနာကြီးမှာ စနစ်သည် အထူးသဖြင့် အမွေအနှစ်တစ်ခုဖြစ်ပြီး အပ်ဒိတ်တစ်ခု၏ရလဒ်အဖြစ် မှန်းဆမရလောက်အောင် ပြုမူနေနိုင်ခြင်းဖြစ်သည်။ အမှန်တကယ်၊ သင်သည် ထုတ်လုပ်မှုတွင် တိုက်ရိုက်အခြေခံအဆောက်အအုံတစ်ခုအပေါ် ပေါင်းစပ်စစ်ဆေးမှုများ ပြုလုပ်ရမည်ဖြစ်သည်။

ချဉ်းကပ်မှု

မည်သို့ကြောင့်နိုင်သနည်း
ဥပမာများနှင့် အောက်ပါအပိုင်းများတွင် ဤပြဿနာများစွာကို မည်သို့ကိုင်တွယ်ဖြေရှင်းရမည်ကို ကျွန်ုပ်အသေးစိတ်ဖော်ပြပါမည်၊ သို့သော် ယခုအချိန်တွင် သင်လုပ်ဆောင်နိုင်သည့် အဓိကနယ်ပယ်များကို ကျွန်ုပ်ညွှန်ပြပါမည်။

1. အမျိုးမျိုးသောစကင်ဖတ်စစ်ဆေးခြင်းကိရိယာများစုစည်းမှု။ စကင်နာများစွာကို မှန်ကန်စွာအသုံးပြုခြင်းဖြင့် အသိပညာအခြေခံနှင့် ထောက်လှမ်းမှုအရည်အသွေး သိသာထင်ရှားစွာ တိုးလာနိုင်သည်။ အန္တရာယ်အဆင့်ကို ပိုမိုတိကျစွာ အကဲဖြတ်နိုင်ပြီး အကြံပြုချက်များစွာ ပြုလုပ်နိုင်သော်လည်း စကင်နာအားလုံး၏ အစုစုထက် တစ်ဦးချင်းစီ လုပ်ဆောင်သည့် အားနည်းချက်များထက် ပို၍ အားနည်းချက်များကို သင်တွေ့ရှိနိုင်သည်။
2. SAST နှင့် DAST ပေါင်းစပ်မှု။ ၎င်းတို့ကြားတွင် အချက်အလက်မျှဝေခြင်းဖြင့် DAST လွှမ်းခြုံမှုနှင့် SAST တိကျမှုကို တိုးမြှင့်ရန် ဖြစ်နိုင်သည်။ ရှိပြီးသားလမ်းကြောင်းများအကြောင်း အချက်အလက်များကို အရင်းအမြစ်မှ သင်ရနိုင်ပြီး DAST ၏အကူအညီဖြင့် အားနည်းချက်ကို ပြင်ပမှမြင်နိုင်သည်ရှိမရှိ စစ်ဆေးနိုင်ပါသည်။
3. စက်သင်ယူခြင်း™။ 2015 မှာ I ပြောတယ်။ (နှင့် ပိုများသော) စကင်နာများကို ဟက်ကာ၏ ပင်ကိုယ်ဥာဏ်အား ပေးစွမ်းရန်နှင့် ၎င်းတို့ကို အရှိန်မြှင့်ရန် စာရင်းအင်းများကို အသုံးပြုခြင်းအကြောင်း။ ၎င်းသည် အနာဂတ်တွင် အလိုအလျောက် လုံခြုံရေး ခွဲခြမ်းစိတ်ဖြာမှု ဖွံ့ဖြိုးတိုးတက်မှုအတွက် သေချာပေါက် အစားအစာဖြစ်သည်။
4. autotests နှင့် OpenAPI တို့နှင့်အတူ IAST ပေါင်းစပ်မှု။ CI/CD-pipeline အတွင်း၊ HTTP proxies များအဖြစ် လုပ်ဆောင်သည့် ကိရိယာများနှင့် HTTP ဖြင့် လုပ်ဆောင်သည့် လုပ်ဆောင်မှုဆိုင်ရာ စမ်းသပ်မှုများအပေါ် အခြေခံ၍ စကင်န်ဖတ်ခြင်း လုပ်ငန်းစဉ်ကို ဖန်တီးနိုင်သည်။ OpenAPI/Swagger စမ်းသပ်မှုများနှင့် စာချုပ်များသည် စကင်နာအား ဒေတာစီးဆင်းမှုနှင့်ပတ်သက်သော ပျောက်ဆုံးနေသော အချက်အလက်များကို ပေးမည်ဖြစ်ပြီး၊ ပြည်နယ်အမျိုးမျိုးတွင် အပလီကေးရှင်းကို စကင်န်ဖတ်နိုင်စေမည်ဖြစ်သည်။
5. မှန်ကန်သောဖွဲ့စည်းမှု။ အပလီကေးရှင်းနှင့် အခြေခံအဆောက်အအုံတစ်ခုစီအတွက်၊ အသုံးပြုထားသော နည်းပညာများ၏ အရေအတွက်နှင့် သဘောသဘာဝကို ထည့်သွင်းစဉ်းစား၍ သင့်လျော်သော စကင်ဖတ်ပရိုဖိုင်ကို ဖန်တီးရန် လိုအပ်ပါသည်။
6. စကင်နာ စိတ်ကြိုက်ပြုလုပ်ခြင်း။ မကြာခဏဆိုသလို၊ စကင်နာကိုမွမ်းမံခြင်းမရှိဘဲ အပလီကေးရှင်းတစ်ခုအား စကင်န်ဖတ်၍မရပါ။ ဥပမာတစ်ခုသည် တောင်းဆိုမှုတိုင်းကို လက်မှတ်ရေးထိုးရမည်ဖြစ်ပြီး ငွေပေးချေမှုတံခါးပေါက်တစ်ခုဖြစ်သည်။ ဂိတ်ဝေးပရိုတိုကောတွင် ချိတ်ဆက်ကိရိယာကို မရေးဘဲ၊ စကင်နာများသည် မှားယွင်းသော လက်မှတ်ဖြင့် တောင်းဆိုချက်များကို အမှတ်တမဲ့ ခြစ်မိလိမ့်မည်။ ချို့ယွင်းချက်အမျိုးအစားများအတွက် အထူးပြုစကင်နာများကို ရေးသားရန်လည်း လိုအပ်ပါသည်။ မလုံခြုံသောတိုက်ရိုက်ကိုးကားစရာ
7. အန္တရာယ်စီမံခန့်ခွဲမှု။ အမျိုးမျိုးသော စကင်နာများကို အသုံးပြုခြင်းနှင့် Asset Management နှင့် Threat Management ကဲ့သို့သော ပြင်ပစနစ်များနှင့် ပေါင်းစည်းခြင်းသည် အန္တရာယ်အဆင့်ကို အကဲဖြတ်ရန် ဘောင်များစွာကို အသုံးပြုခွင့်ပေးမည်ဖြစ်ပြီး၊ သို့မှသာ စီမံခန့်ခွဲမှုသည် ဖွံ့ဖြိုးတိုးတက်မှု သို့မဟုတ် အခြေခံအဆောက်အအုံ၏ လက်ရှိလုံခြုံရေးအခြေအနေ၏ လုံလောက်သောပုံတစ်ပုံကို ရနိုင်မည်ဖြစ်သည်။

စောင့်မျှော်လျက် အားနည်းချက်ရှာဖွေခြင်းကို နှောင့်ယှက်ကြပါစို့။

source: www.habr.com