标签：SAST 转移 安全 构建 测试 自动化 源代码 安全性

安全测试解决方案-Alltesting|泽众云测试Alltesting泽众云测试提供安全测试解决方案https://www.alltesting.cn/testservice/anqcsplan.html

持续测试

大多数安全测试策略的弱点之一是大多数测试的后一刻。

持续测试通常被认为是在开发的每个阶段进行自动化测试，以在不影响质量的情况下快速创新。将其应用于当今的安全性至关重要，因为即使代码没有改变一行，每天也会发现和披露新的漏洞。

1. 静态应用安全测试

SAST 通常可以成为持续安全测试的初始候选者的一个原因是它与代码的接近度。SAST 是在编译时对源代码进行的字面扫描。如果您的代码已经通过 CI/CD 管道，那么您就拥有了创建将 SAST 应用于源代码的自动化测试框架所需的大部分基础设施。

与所有安全工具一样，必须有一个自动化流程，以在扫描本身之上保持漏洞分析的新状态。接下来，您可以利用现有的自动化构建工具或您的 CI 引擎（Jenkins、Bamboo 等）来调用与构建并行的源代码扫描。

2、软件组成分析

与 SAST 相比，SCA 实现有所不同。与 SAST 一样，易受攻击的组件数据库必须自动保持新。构建过程调用一些工具在构建时分析所有第三方依赖项。

其他工具被设置为 CI/CD 基础架构的一部分，以在正常构建过程运行时拦截依赖项并创建分析。

3. 动态应用安全测试

如果的 DevOps 管道不包括自动化测试，则 DAST 的设置成本将高得令人望而却步。

标签：SAST,转移,安全,构建,测试,自动化,源代码,安全性
来源： https://blog.csdn.net/spasvo_dr/article/details/121833868

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。