# 軟體安全開發生命週期SSDLC服務工作坊 日期：112/10/5 執行單位：台北市電腦公會 ## 威脅模型建構演練 SSDLC概說  安全需求階段 採PDCA的流程如下 * Plan * 安全需求程度規畫 * Do * 設置安全需求安全性檢查點 * 工具輔助 * Mircosoft TMT * OWASP Threat Dragon * Check * 安全需求安全性檢查點 * Action * 矯正規劃或安全性檢查點 威脅建模階段 **信任邊界概念：相同信任邊界內元件不需重覆驗證，不同信任邊界元件每次需要驗證。** 威脅建模->產生威脅清單 * Microsft STRIDE 模型  * Microsft DREAD模型  緩解措施 STRIDE建模實作 工具： Microsft TMT 下載：https://tmtdist.azurewebsites.net/TMT7.application 說明手冊： https://learn.microsoft.com/zh-tw/azure/security/develop/threat-modeling-tool 建模  信任邊界  威脅清單  STRIDE分類  Report  ## SSDLC自助式軟體資安檢測服務介紹演練 介紹說明 待測中 自助式軟體檢測服務，免費使用至10月底 https://www.ncsslab.org.tw/ 1.軟體安全檢測 **使用Checkmarx** Sample Code https://drive.google.com/drive/folders/1J3Dk4rbX0Zfo4ZXiH7FRKXTK941vwzwa 檢測後產出以下報告： * 原始碼風險報告 * 檢測原始碼之漏洞，並提供緩解辦法 * 開源軟體物料清單(SBOM)分析報告 * 分析開源軟體供應鍊的透明度資訊 * 開源軟體漏洞掃描報告 * 分析開源軟體已知風險資訊 * 開源軟體使用風險報告 * 分析開源軟體使用符合授權規範，避免誤觸法令 * 開源軟體物維運風險報告 * 分析開源社群活躍度，確保安全漏洞可被持續修復資訊 自行補充 使用微軟開源工具 sbom-tool 自動產生 SBOM軟體物料清單 https://hackmd.io/@Not/MS_SBOM_tool?utm_source=preview-mode&utm_medium=rec 產完 SBOM 之後就沒事了? 用 OSV 開源漏洞資料庫查到底哪些元件有風險 https://hackmd.io/@Not/SBOM_Fixed?utm_source=preview-mode&utm_medium=rec 2.深度網頁掃描服務 **使用Rapi Recorder+OWASP ZAP** Rapi Recorder 錄製腳本 --> outfile:xxx.json https://github.com/RapiTest/rapi 主要使用情況在於網站有較多人為需輸入的頁面，進行深度檢測漏洞。 ## DevSecOps開發流程基礎建構演練 * 資通安全責任等級分級辦法附表十資安通系統防護基準 * 系統與服務獲得 * 需求階段 * 設計階段 * 開發階段 * 測試階段 * 部署與維運階段 * 委外階段 * 獲得程序 * 系統文件 * NIST SP 800-207 * 2021 發布零信任架構 * 2022 零信任架構策略目標 * 應用程式安全等等... * 建立DevSecOps程序，避免安全機制被繞過 * 從DevOps到DevSecOps * DevSecOps * start * Repo Scan * Build * Static Analysis * Generate SBOM * OSS Licence Checker * SAST * SCA * Unit Tests * Package * Image Analysis * Image Linting * Image Scan * Deploy to Dev * DAST * E2E tests * Dynamic Analysis * End * Env ->Git and Github * git flow -> git action * branch * 以下的例子偏向CI * [github shihchaoch](https://github.com/shihchaocha/devsecopsdiy) * Pipeline ->spring initializr * Githb -> SBOM OR SAST Tool * SAST:Sonarcloud、sastscan * SBOM：DependencyTrack 、slscan * 透過 DevSecOps，可以有效將相關SSDLC工作自動化 * 結論 * 由版本控制工具來看One Codebase * 知道一般做DevSecOps 或 DevOps Pipeline型式 * 可以透過Github actions去建立DevSecOps pipeline * 進行SCA * 進行SAST * 進行DAST  參考資料 https://www.gss.com.tw/security-epaper/2761-gss-0181-whitesource ## 高效網頁測試腳本錄製深度網頁掃描及實機操作演練 * 軟體測試活動(包含安全測試、品質測試) * 測試設計(左圈) * 自動化測試(左圈右圈交集) * 測試系統(右圈) * 弱點掃描 (自動化) * OWASP ZAP[Spider Mode]->核心Crawling * 涵蓋度限制 * Implicit clickable elements 隱含可被按的元素 * Drap-drop actions 拖拉動作 * Forms 表單 * Near-duplicate Page state problem 重復爬取 (最難問題) * OWASP ZAP [Proxy Mode]->核心web proxy * 涵蓋度限制 * Implicit clickable elements 隱含可被按的元素 * Drap-drop actions 拖拉動作 * Forms 表單 * Manual check 人工檢測 * **OWASP ZAP [Proxy Mode] + GUI腳本** 混合模式 * 測試腳本：Coding/ 錄製Recording * Coding ->OWASP * Recording-> Rapi Recorder產生腳本 * 經實驗測試：使用混合模式掃描涵蓋率會較高 結論 * 弱點掃描的Spider Mode是基本需要的 * Proxy Mode 可發揮更深度的掃描效果 * 搭配使用網頁錄製器(Rapi)，可加速測試案例生成，達成自動化回歸深度弱點檢測 **owasp zap + Rapi Recorder 近似於Acunetix的 掃描功能** OWASP ZAP + Rapi Recoder實作 Rapi Record 安裝 https://chrome.google.com/webstore/detail/rapi-recorder/ajondaiaeoipdkpjeoljbjimmfenohin Rapi Record 使用手冊 https://hackmd.io/@Rapi/book/%2F%40Rapi%2Frapi-welcome  將Rapi Record錄製後可以加入本案的檢測平台，可以實務檢測。 * 滲透測試 Ref: https://hackmd.io/@ZLgd0D1pQcyasZhkkWKG4g/HyFZFPDQu ## OWASP IOT TOP10 物聯網安全介紹 CWE 16XX 個漏洞→OWASP TOP10 OWASP TOP 10-2021