背景
根据一份报告显示,大约80%的安全问题发生在应用层,但是在应用层的投入相对匮乏。
造成上面的原因很多,其中比较突出和普遍的原因就是研发团队没有足够的安全意识,常常把安全放在最后,作为一种nice to have的事情,由于交付压力,安全测试常常被砍掉。
自动化安全
之前常常通过新闻的渠道才知道某某库出现了安全漏洞,然后通过手动的方式去查看,这种方式非常的耗时,低效。
所以我们做自动化安全,把安全相关的检测和测试,集成到jenkins流水线中,持续的获取到我们应用的安全状态,并做持续改进,避免安全造成的公司财务或者名誉损失。
自动化流水线:
源码安全扫描
常见的源码级别的静态安全扫描有Fortify(收费),FindSecurityBugs,Sonar+FindBugs,通过这些工具,它们可以快速识别代码中的安全风险,并给出修复提示。
如图“Sonar+FindBugs插件”:
具体配置请参考:https://find-sec-bugs.github.io/
第三方依赖安全监测工具
1 | 80%的代码不是你写的,而来至于第三方依赖 |
比如知名的Apache structs2有一个版本就有远程代码执行漏洞,OpenSSL Heartbleed就存在过服务器内存泄露等问题,一般针对JAVA应用,推荐使用OWASP DependencyCheck来做三方依赖的安全监测工具,只需要引入Maven或者gradle插件即可。
1 | <project> |
具体配置请参见: https://jeremylong.github.io/DependencyCheck/dependency-check-maven/
其一般工作原理如下(需要网络连接):
应用渗透测试工具
常见的开源安全工具ZAP,它是一个黑盒测试,即在应用程序处于运行状态下对其进行测试,其优点是:无须获取源代码,可发现不安全的配置、页面安全缺陷、以及第三方接口安全问题。
运行界面如下:
ZAP也提供了Jenkins插件和docker镜像,很容易将其集成进我们的流水线,成为持续集成中的一部分。
具体配置请参见:
https://wiki.jenkins.io/display/JENKINS/zap+plugin
针对数据库,可以使用sqlmap, 它是一个开源的渗透测试工具,对不同类型的数据库进行渗透测试,比如sql注入和数据库越权。
具体配置请参见:
http://sqlmap.org/
常见安全注意事项
- 响应头和错误页面中不要包含服务器的版本信息
- 响应中添加安全响应头:X-Frame-Options、X-XSS-Protection、X-Content-
Type-Options、HSTS - 关闭spring的actuator接口
- 错误响应( 如400、500)中不要包含敏感信息( 如错误堆栈)
- 如果使用tomcat,注意关闭管理接口
- 如果使用swagger,关闭在产品环境下的接口
- API没有任何认证
- API没有进行限速
- 在应用外围部署WAF
- 应用对输入数据进行有效性验证或进行参数化查询
- 数据库连接账号隔离以及权限最小化
- 敏感数据加密存储