安全檢測自動化

Secure DevOps 最佳實踐

Fast, Accurate, Agile

Security Testing

Kevin Chia
Secure DevOps Technical Advisor
Copyright © 2022 HCL Software Limited | Confidential
 AppScan 進行應用程式安全測試的類型
您的 AppSec 程式能完成哪些？

靜態掃描 原碼檢測 動態掃描 網站弱掃

Static Analysis (SAST) Dynamic Analysis (DAST)
WHAT: 程式碼 WHAT: 網頁應用程式
WHY: 快速、早期發現 WHY: 低誤判,發送實際攻擊

軟體成分分析 互動式分析
Software Composition Analysis (SCA)
Interactive Analysis (IAST)
WHAT: 協力廠商開源套件(ASoC)
WHAT: 即時監控應用程式
WHY: 識別具有弱點之協力廠商套件 WHY: 部屬簡單, 即時顯示弱點
What is DevOps

3
DevOps是….
DevOps 是參與人員、流程與技術，在特定需求下的結合
目的是實踐快速且持續不斷的對最終用戶交付價值.
– Donovan Brown.Oct 30, 2020

規劃 程式碼 建構 測試 簽入

Continuous Delivery
Development
應用程式安全
Operations

評估 追蹤 監控 部屬

4
從孤島到共享工作流的旅程

開發 QA 品管 資安 維運(Infra)

1 2 3

ZIP 1

5
如果能自動化有多好？

自動化

6
GitHub 與 GitLab

簽入
簽出

7
AppScan 與 DevOps 整合

在早期發現問題 提供開發人員建議 關聯性群組修正

從初期開始修正 執行源碼檢測 執行交互式檢測

Development
計畫 程式碼 建構 測試 簽入

CodeSweep SAST, SCA IAST

HCL 應用程式安全 前端安全檢測

DAST
網頁弱點掃描
ASM, AppScan Issue Gateway

評估 追蹤 監控 部屬

持續監控 Operations
弱點追蹤與管理
Shift Left

8
GitLab & GitHub 協助解決管理問題

Check In

GitHub 測試環境部屬 網頁弱掃

報告下載
工程師 源碼檢測 正式環境部屬
GitLab 弱點管理

Condition FAIL

Create Issue
9
 Example: GitHub Pipeline on Merge with Main Branch

Main Branch
H C L AP P S C AN D E V E L O P E R E X P E R I E N C E

Feature Branch

On Merge w/ Main: SAST 源碼檢測

• 項目全掃描
• 結果發佈到 AppScan
• 產出報告
• 安全守門員
Available in the Marketplace!

11
 自動化關聯性群組
Automatic Issue Correlation IAST DAST

將 SAST、DAST 和 IAST 的問題應該在一次努力中得到修復。

• 使用 IAST/SAST 詳細資訊豐富 DAST 問題。
SAST
AU T O C O R R E L AT I O N

• 使用 IAST/DAST 結果的準確性對您的 SAST 發現進行優先排序。

• 從 IAST/DAST 問題的狀態更新驗證 SAST 修復。
• 通過將問題分組在一起來減少漏洞和修復任務的數量。
H C L AP P S C AN
 H C L AP P S C AN S C A

AppScan SCA

13
 認識HCL AppScan 產品大家庭
雲端
AppScan on Cloud
“ASoC”

地端
IAST
DAST AppScan Enterprise
SAST
AppScan Standard
SCA
AppScan Source
IAST
DAST
SAST
AppScan CodeSweep
SAST
 A complete AppSec platform
AP P L I C AT I O N S E C U R I T Y

安全開發 專注於修補 企業管理

通過整合API 和工具提供快速準 通過關聯、修補和準確的修補建 提供控制、可見性、可擴展性和

確的掃描，以在任何開發環境 議，確定發現結果的優先級並縮 性能，從而改進治理和風險評估。
中工作。 短修補時間。

15
常見客戶問題

合規 創新 資源
外部法規和內部政策要求 應用程式 小型安全團隊
• 我的業務風險在哪裡？ 版本和技術的快速增長 大量應用程式
• 如何訂製應用程式安全的 • 我們如何在不減慢流程/業 • 我們如何為我擁有的資源
內部規範要求？ 務的情況下，在快速 確定工作的優先順序？
• 我的私人/敏感資料是否被 DevOps/Agile 中測試應用 • 我們應該測試什麼以及我
應用程式洩漏？ 程式的安全性？ 們如何測試？
• 如何檢查和證明應用程式 • 我們如何降低成本並在生 • 我們如何配置員工並提高
合規性？ 命週期的早期發現安全問 技能和意識？
題？
 AppScan 外掛程式

CI/CD IDEs

GitHub Marven Gradle Jenkins Visual Studio VS Code Eclipse

Bamboo
AP P S C AN S AS T / P L U G I N S

UrbanCode Deploy Azure Devops GoCD IntelliJ Rider PyCharm

問題報告追蹤系統 & 漏洞管理

PhpStorm WebStorm GoLand

Azure Devops Jira RTC ThreadFix CodeDX

CLion RubyMine

17
AppScan 與 DevOps 整合

計畫 程式碼 建構 測試 簽入

Development
SAST, DAST, SCA, Mobile IAST
CodeSweep

HCL 應用程式安全
ASM, AppScan Issue Gateway
DAST Operations

評估 追蹤 監控 部屬

18
 具有定制體驗的完整 AppSec 平臺
AppScan
生態系統

AppScan IDE 套件
安全拼寫檢查
集中編排和管理平臺 AppScan for
控制 • 可見性 • 相關性 開發人員 使用管道掃描的結果。 You
高效分類 • 報告 • 趨勢
T AI L O R E D E X P E R I E N C E S

為客戶安全成功提供個性化諮
詢服務。

自動化套件 AppScan
市場整合 Academy
具有領先的發展
Dev 團隊 工具
獲得認證
並展示 AppScan 技能。.

SAST IAST AppScan

Community
SCA DAST

為開發團隊設置護欄、審查
靈活部署： 合規性和掃描。 利用專家工 安全專家的地方
地端/雲端/混合 安全團隊 具並上傳結果。 進行諮詢和協作。

19
AppScan Stay
Connected!

Copyright © 2022 HCL Software Limited | Confidential

AppScan Stay Connected!

AppScan Live Tuesdays!

Weekly Webinar

appscan.com

@AppScanHCL

HCL AppScan

HCL AppScan

appscan@hcl.com
Follow Us!
21
AppScan Stay Connected!

Application Paranoia Podcast

Bi-Weekly Podcast

appscan.com

@AppScanHCL

HCL AppScan

HCL AppScan

appscan@hcl.com
Follow Us!
22
Contact Your Technical Advisor

Kevin Chia

Secure DevOps Technical Advisor

kaijye.chia@hcl.com

Copyright © 2022 HCL Software Limited | Confidential

hcltechsw.com/AppScan
hcltechsw.com