答案。

应用程序安全检查自动化的想法随着网络威胁的增加而发展。最初，安全测试几乎完全是手动的，但DevOps和自动化的发展使得将安全检查集成到CI/CD管道中成为可能。

问题背景

在早期，手动渗透测试（pentest）和扫描工具是检查漏洞的唯一工具。后来，开发中开始出现单独的自动化扫描工具，随后是整个集成在流程中的平台。

问题

• 安全测试通常执行时间较长，且更新较少。
• 存在大量的“假阳性”结果。
• 需要针对基础设施和应用程序进行复杂配置。
• 并非所有漏洞都能自动检测——某些检查需要专家分析。

解决方案

1. 在CI/CD阶段嵌入自动化安全测试：使用DAST/SAST分析器、自动扫描工具（如OWASP ZAP、SonarQube、Checkmarx等）。
2. 定期更新报告和测试场景，设置处理假阳性的机制。
3. 将自动化与定期的手动审计和回顾相结合。

关键特性：

• SAST/DAST/RASP扫描
• 与CI/CD集成
• 事件反应的处理和自动化

诘问。

是否可能仅通过自动化测试找到所有漏洞？

不可能，自动化检查只能覆盖部分安全风险（例如，XSS、SQL注入）。为了全面，需要进行手动审计。

仅使用一种类型的扫描器——SAST或DAST——是否足以提供有效保护？

不行，SAST在应用程序启动之前对代码进行静态分析，DAST在应用程序运行时分析其行为。两者都应该使用，并考虑其他方法。

是否应在CI/CD中禁用安全测试以加快部署速度？

不，这种做法是危险的——这会威胁到产品的安全性。

常见错误与反模式

• 忽视扫描器报告（假阳性疲劳）
• 缺乏手动与自动方法的结合
• 仅自动化安全过程的一部分

生活中的实例

负面案例

在发布阶段，安全性仅通过手动分析和偶尔使用扫描器来检查，报告未集成到CI/CD中。

优点：

• “实时”审计复杂漏洞

缺点：

• 迟阶段发现问题
• 修复成本高

正面案例

安全测试在CI/CD中自动化部署，关键漏洞阻止发布，为假阳性设置了过滤规则，每季度进行额外的渗透测试会话。

优点：

• 快速发现关键漏洞
• 确保在每次代码更改时进行分析

缺点：

• 需要DevOps和安全专业人员的资源
• 某些漏洞（逻辑漏洞）仅能手动发现