学习目标:
本介绍旨在帮助感兴趣者尽快了解 Macroscope,这是一款用于安全测试自动化和漏洞管理的企业工具。
全覆盖应用程序安全测试:
如下图所示,如果使用多种互补工具(SAST/DAST/SCA 等)来检测应用程序中的漏洞,测试工作就会变得极具挑战性:
这些挑战包括开发团队互动的复杂性、每个工具的管道集成数量不断增加、没有集中的结果报告/问题重复,以及没有企业级风险或补救措施的可见性。
Macroscope 旨在应对这些挑战,大规模提供全面覆盖的应用安全测试。
它是如何实现的?
Macroscope 的核心是一个以所有软件工程团队在各种源代码控制系统中开发的源代码为起点的管道。
当源代码管理工具(如 GitHub 或 BitBucket)中发现新代码或修改过的代码时,就会使用供应商提供的开源工具和内部开发的工具对其进行检查。 这些检查结果被关联、去重、排序,并通过一个中央用户界面、多个通信渠道和一个应用程序接口提供。
这样做的结果和带来的价值是,与安全相关的代码问题能被快速、可靠地发现,并为修复和加固提供可操作的信息。
Macroscope 集成的基本示意图如下:
工作流程:
- 通过主动探测可访问的源代码管理系统,并按周期性计划发现要扫描的源代码控制库和分支。
- 录入(克隆)源码库内容,检查出所需的分支,并对源码库内容进行初步清查。
- 执行安全测试工具并收集其结果。
- 存储结果(发现),必要时删除重复结果,并按严重程度排列优先级。
- 通过各种沟通渠道(电子邮件、用户界面、通知、报告等)与相关方沟通结果。
核心功能:
- 漏洞管理
- 企业和团队级仪表板
- 应用程序安全风险综合视图
- 重复数据删除和关联
- 假阳性跟踪
- 风险接受管理
- 发现通知
- 电子邮件
- 自动拉取回复/合并注释
- JIRA、票据创建
- 聊天室、频道、通知
- 集成开发环境扩展/插件
3. 漏洞扫描
- 提供始终在线的无摩擦安全性
- 扫描所有版本库中的所有代码–所有分支
- 最佳选择–有针对性–以语言为中心
- 将代码扫描移至最开始–在提交时扫描
- 主动与被动
- 静态代码扫描 (SAST)
- 软件构成分析 (SCA)
- 动态代码扫描 (DAST)
- 机密/PAN/凭证检测
- 基础设施即代码扫描
4. 风险跟踪
- 每个存储库的字母等级(A-F)
- 漏洞 SLA 跟踪
- 有时限的风险验收
更多
- 全面 - 包括所有必要的扫描
- 可扩展性–添加新扫描快捷方便
- 兼容 - 不会破坏现有流程
- 无障碍 - 让代码扫描变得轻而易举
- 全面覆盖 - 扫描所有分支、所有项目
