建设的基本流程网站,北京做网站电话,做直播网站找哪家网站,游戏网页代码学习目标#xff1a;
本介绍旨在帮助感兴趣者尽快了解 Macroscope#xff0c;这是一款用于安全测试自动化和漏洞管理的企业工具。 全覆盖应用程序安全测试#xff1a;
如下图所示#xff0c;如果使用多种互补工具#xff08;SAST/DAST/SCA 等#xff09;来检测应用程序…学习目标
本介绍旨在帮助感兴趣者尽快了解 Macroscope这是一款用于安全测试自动化和漏洞管理的企业工具。 全覆盖应用程序安全测试
如下图所示如果使用多种互补工具SAST/DAST/SCA 等来检测应用程序中的漏洞测试工作就会变得极具挑战性 这些挑战包括开发团队互动的复杂性、每个工具的管道集成数量不断增加、没有集中的结果报告/问题重复以及没有企业级风险或补救措施的可见性。
Macroscope 旨在应对这些挑战大规模提供全面覆盖的应用安全测试。 它是如何实现的
Macroscope 的核心是一个以所有软件工程团队在各种源代码控制系统中开发的源代码为起点的管道。
当源代码管理工具如 GitHub 或 BitBucket中发现新代码或修改过的代码时就会使用供应商提供的开源工具和内部开发的工具对其进行检查。 这些检查结果被关联、去重、排序并通过一个中央用户界面、多个通信渠道和一个应用程序接口提供。
这样做的结果和带来的价值是与安全相关的代码问题能被快速、可靠地发现并为修复和加固提供可操作的信息。 Macroscope 集成的基本示意图如下 工作流程
通过主动探测可访问的源代码管理系统并按周期性计划发现要扫描的源代码控制库和分支。录入克隆源码库内容检查出所需的分支并对源码库内容进行初步清查。执行安全测试工具并收集其结果。存储结果发现必要时删除重复结果并按严重程度排列优先级。通过各种沟通渠道电子邮件、用户界面、通知、报告等与相关方沟通结果。 核心功能
漏洞管理
企业和团队级仪表板应用程序安全风险综合视图重复数据删除和关联假阳性跟踪风险接受管理
发现通知
电子邮件自动拉取回复/合并注释JIRA、票据创建聊天室、频道、通知集成开发环境扩展/插件
3. 漏洞扫描
提供始终在线的无摩擦安全性扫描所有版本库中的所有代码–所有分支最佳选择–有针对性–以语言为中心将代码扫描移至最开始–在提交时扫描主动与被动静态代码扫描 (SAST)软件构成分析 (SCA)动态代码扫描 (DAST)机密/PAN/凭证检测基础设施即代码扫描
4. 风险跟踪
每个存储库的字母等级A-F漏洞 SLA 跟踪有时限的风险验收
更多
全面 - 包括所有必要的扫描可扩展性–添加新扫描快捷方便兼容 - 不会破坏现有流程无障碍 - 让代码扫描变得轻而易举全面覆盖 - 扫描所有分支、所有项目
