DevOps + Sec 是強力援手還是搗亂者 - 蔡龍佑

歡迎來到 DevOpsDay Taipei 2024 共筆

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

共筆入口:https://hackmd.io/@DevOpsDay/2024
手機版請點選上方 按鈕展開議程列表。

議程介紹

填寫議程滿意度問卷|回饋建言給辛苦的講者

共筆從這開始

https://accelera.com.au/wp-content/uploads/2020/09/Accelera-DevSecOps-Security-Controls-Infographic_v1.0_2020.pdf

  • 基本資安工具要跑完
  • 測試盡早做

現階段

專案起始會議成員

  • Security Professional
  • Legal professional (越來越重視 legal 但 developer 很少看)

Coding

  • peer review

CI/CD

  • Security Test, 誤判:不處理亦可端看價值, 權責分離, 防火牆

如何第一次就不踩雷

  • 國際標準很多
  • 書籍很多,不外乎資安小組長(但他也是develop也有私心)

理想在那邊,距離一直不變短
https://owasp.org/www-project-samm/
https://owasp.org/www-project-application-security-verification-standard/

Testing

  • Penetration Test, 很貴
  • Website Scanning, 一個URL就有很多檢測方式,時間很難評估
  • Source code Scanning
    • 公家機關會拿 open source 的 code 去掃,掃出來有問題就會要求限期改善
  • fuzzing test
  • OS vulnerability scanning:基本上自建,最好測試環境就掃,不要只掃正式。 掃的費用是固定

黑箱檢測直接掃描

  • 檢測容易球員兼裁判,睜一隻眼。
  • 大部份程式文件是不足的
  • adimn 和 normal 用不同登入介面,掃描會有盲區
  • 黑箱檢測不可性? 海砂法拍屋案例

那些導入前沒說的事

  • 資安檢測項目數量: code (500) > web (50) > 滲透(5)
  • CI/CD 的弱點,不要聽網路先用簡單的。

檢測後產生的諮詢

  • dead line 前才做,弱點的量成長趨勢指數飆

老舊系統要掃嗎?

  • 30年的系統會有多少問題? 90000+ 直接放棄治療

總感覺多一個人來指手劃腳

  • develop 平常趕code,跑出來資安掃描安全檢測
  • 還沒被駭客打先被資安官搞死

知識是最好的投資

  • 資安認證與寫程式完全不一樣阿
  • 資安大多都在說管理
  • 保密性、可用性、完整性
  • A、A、A
  • Security By Default
    • 公司網站可以被DDoS ? 防火牆壞了:所有封包直接通過
    • 斷電磁門要預設關還是開?
  • OWASP,十年前20項、 現在200項
  • 加密、hash > 密碼hash不安全了怎麼辦? 改不了實作呀,只能叫使用者來改密碼
  • 上課教育訓練的時候,大家都在恍神,得到出席證明。

。。 多數人只是想把事情完成

檢測流程

  • 集中化排隊檢測?
  • 例如同時跑8台,但硬碟同一顆
  • 編譯也集中化,大多數程式碼都編譯不過了

Final

  • Threat Modeling : 導入一定要花多一點時間討論,範圍圈好
  • 使用共同認可之檢核套件
  • 建立企業審核通過的片段程式碼
  • 企業要建立威脅邊界與具體修補方案,要真的能用。
tags: DevOpsDays Taipei 2024

共筆聊天室:

吃了一隻炸雞腿會減少多少壽命?
今天大家喝了多少18天?
一瓶就很飽了
雨大到下午都種在F棟

Select a repo