主流研发团队的工程效.pdf-道客多多

资源描述

1、主流研发团队的工程效率与质量安全提升实战韩葆， 15210834682,Bao.H 目录源起 -为什么要做工程效率？工程效率平台的典型架构与技术落地 -工作流集成、培训与实施不断演变发展的环境需要新方法不断变化的部署环境改变了测试需求嵌入式设备云服务 (私有云、混合云、公有云 ) 语言和框架新的技术堆栈和攻击面敏捷开发运维 CI/CD 开源新的开发理念和方法为什么要做工程效率？ - 环境需求任何时间永久风险漏洞深深隐藏即使采用先进的工具和方法也很难发现代码或配置很小的改动会产生新的安全漏洞大范围大规模攻击自动攻击广泛共享软件中的一个漏洞可在

2、同一时间随处被用来自动进行攻击示例城市中所有交通信号灯同时失效任何人独狼或国家远程攻击网络访问可从世界任何地点随意发起攻击很难跟踪无法指控为什么要做工程效率？ - 安全态势为什么要做工程效率？ -人力成本 5 为什么要做工程效率？ -人力成本 6 为什么要做工程效率？ -人力成本 7 为什么要做工程效率？ -管理需求大规模研发团队管理的需求（ 1000-50000+）集中式报告 -质量、安全、性能全系统流程管控资源节省 8 工程效率平台的典型架构与相关技术工程效率平台典型架构 10 项目管控需求流程报告研发管理源代码集中编译研发测试编译与发布集成

3、 /发布性能测试线上监控工程效率平台典型架构 -纯安全集合 11 项目管理项目工作流研发安全代码安全审计 IAST 安全测试渗透测试线上监控安全管理与态势感知工程效率平台典型架构 -纯质量集合 12 项目管理项目工作流研发质量代码质量 - Code Reveiw 功能测试功能、压力测试线上监控线上性能、功能监控工程效率平台典型架构（百度） 13 来源：http:/pstatic.geekbang.org/pdf/5718389de9ede.pdf?e=1500283199&token=eHNJKRTldoRsUX0uCP9M3icEhpbyh3VF9Nrk5

4、UPM:UiEvE3mV03UwuWctXTqqWeAtnbk= 开发分支线上 RD开发 ,联调 online 上线分支上线版本备份自动化编译自动化回归自动性能测试自动化对比 RD开发合入代码沙盒环境预上线环境自动部署 QA新功能测试本地自动化对比自动化编译自动化回归自动性能测试自动部署工程效率平台典型架构（链家）来自：https:/ 应用部署自动化测试支撑平台镜像管理容器管理工具 CASE部署运行工程效率平台典型架构（链家）来自：https:/ CI Service B u i l d CD Service Docker Reg 工程效率平台典型

5、架构（ Cloud CI/CD）工程效率平台典型技术项目管理 17 需求设计研发管理缺陷管理报告综合禅道 IBM Rational Atlassian 2017 Synopsys, Inc. 18 Confidential SDLC软件研发生命周期中的技术要求与设计架构风险分析安全代码设计分析威胁建模培训核心安全培训安全编码培训远程教学 SAST (IDE) SAST (构建 ) SCA (源代码 ) IAST 实施 SAST (托管 ) 模糊测试 SCA (二进制 ) 手机测试验证 DAST (托管 ) 渗透测试网络渗透测试发布综合软件完整产品组合工程

6、效率平台典型技术 Code Review 19 软件开发过程中对源代码的系统性检查查找系统缺陷，保证软件总体质量轻量级代码评审人工 /自动化两种方式人工 - Gerrit 自动化 - 代码静态分析 GERRIT 基于 Meta Compilation的静态分析：由斯坦福大学教授 Dawson Engler提出，在深度理解代码与程序语义的基础上检测缺陷旨在查找“真正的代码缺陷” 实现原理：使用可扩展的 metal语言定义正确性 Checker 将程序的源码使用状态机进行抽象描述（ State Machine Abstraction），可执行路径级别分析。使用 xgcc系统匹配

7、 Checker与抽象状态机状态，找到问题所在的点。可准确检测实际的 Bug（内存和指针问题、资源泄露、缓冲区溢出，数组越界，心脏出血漏洞 .）能够检测高达亿行级别的代码库，避免“状态爆炸” 使用模型检验与符号执行技术，误报率降低至 15%以下算法已产品化 -Coverity 面向企业的 Coverity 软件面向开源代码的 Coverity SCAN Coverity的静态分析方案 “ 开发人员首先 ” 保证安全签交前发现并修复漏洞静态代码分析 Coverity 企业就绪企业级报表和仪表板超大型代码库 (10M以上 LOC) 从源头保证安全

8、静态分析技术能够在编写代码的同时发现其中的严重安全漏洞。 Synopsys提供 Coverity静态代码分析工具符合标准 OWASP Top 10, CWE Top 25 报告包括 PCI-DSS 手机安全 Android和 iOS Objective-C OWASP Mobile Top 10, JSSEC, CERT 可发现的缺陷包括缓冲区溢出内存损坏资源泄漏资源争用静态代码分析 Coverity OWASP10 + CWE25 覆盖范围包括 SQL注入跨站脚本敏感数据误用命令注入从源头保证安全采用行业

9、最高效、最可靠的静态分析解决方案，在编写代码的同时发现其中的严重安全漏洞。 Android 应用安全策略 Coverity 代码安全性分析权限控制泄露分析 . 质量问题 -Java Based 深度理解 Android API 性能与崩溃类问题：资源泄露，空对象引用， ANR Android Security CWE Coverage CONFIDENTIAL CWE CWE Name Coverity Static Analysis Checker 259 Use of Hard-coded Password HARDCODED_CREDENT

10、IALS 296 Improper Following of a Certificates Chain of Trust BAD_CERT_VERIFICATION 297 Improper Validation of Certificate with Host Mismatch BAD_CERT_VERIFICATION 299 Improper Check for Certificate Revocation BAD_CERT_VERIFICATION 321 Use of Hard-coded Cryptographic Key HARDCODED_CREDENTIALS 327 Use

11、 of a Broken or Risky Cryptographic Algorithm RISKY_CRYPTO 328 Reversible One-Way Hash RISKY_CRYPTO 337 Predictable Seed in PRNG PREDICTABLE_RANDOM_SEED 759 Use of a One-Way Hash without a Salt WEAK_PASSWORD_HASH 760 Use of a One-Way Hash with a Predictable Salt WEAK_PASSWORD_HASH 798 Use of Hard-co

12、ded Credentials HARDCODED_CREDENTIALS 916 Use of Password Hash With Insufficient Computational Effort WEAK_PASSWORD_HASH 服务器端（ Java/Javascript/Node.JS）质量问题 /安全问题 -Java Based/JS/Node.JS NULL_REFERENCE COPY_PAST_ERROR XSS DOM_XSS . 软件组成分析包括 : 任何软件或器件的完整物料清单企业工作流集成可配置 CI插件的开放式 API 覆盖范围包

13、括 : 源代码和二进制代码 (包括容器、固件和虚拟 HD) 开源代码许可义务第三方代码已知漏洞了解软件构成。识别第三方软件组件中的已知漏洞并修复，避免被利用。 Synopsys提供 ProteCode软件组成成分分析工具软件成分分析ProteCode 先进的模糊测试降低总体开发成本和时间避免召回 /修补 /更新造成损失 Heartbleed漏洞的发现原理 -Defensics工具智能模糊测试 Defensics 在黑客动手前在软件中发现未知危险漏洞。 Synopsys提供 Defensics模糊测试工具介于白盒测试与黑盒测试之间的安全漏洞检测通过模拟漏洞利用和数据分析，精确评估每一个漏洞风险的影响和分类 IAST的技术能够覆盖到每一个漏洞的源代码 BSIMM推荐的的 IAST软件工具为 Seeker，来自以色列交互式应用安全测试（ Seeker）将动态测试和运行时代码分析集成到现有开发生命周期之中，帮助开发团队发现并确认多层 web 应用中的安全漏洞工程效率平台典型技术其他 30 A/B测试压力测试集成测试线上监控态势感知

展开阅读全文