背景

根据一份报告显示，大约80%的安全问题发生在应用层，但是在应用层的投入相对匮乏。

image.png

造成上面的原因很多，其中比较突出和普遍的原因就是研发团队没有足够的安全意识，常常把安全放在最后，作为一种nice to have的事情，由于交付压力，安全测试常常被砍掉。

自动化安全

之前常常通过新闻的渠道才知道某某库出现了安全漏洞，然后通过手动的方式去查看，这种方式非常的耗时，低效。

所以我们做自动化安全，把安全相关的检测和测试，集成到jenkins流水线中，持续的获取到我们应用的安全状态，并做持续改进，避免安全造成的公司财务或者名誉损失。

自动化流水线：

image.png

源码安全扫描

常见的源码级别的静态安全扫描有Fortify（收费）,FindSecurityBugs,Sonar+FindBugs,通过这些工具，它们可以快速识别代码中的安全风险，并给出修复提示。
如图“Sonar+FindBugs插件”：

sonar.png

第三方依赖安全监测工具

80%的代码不是你写的，而来至于第三方依赖

比如知名的Apache structs2有一个版本就有远程代码执行漏洞，OpenSSL Heartbleed就存在过服务器内存泄露等问题，一般针对JAVA应用，推荐使用OWASP DependencyCheck来做三方依赖的安全监测工具，只需要引入Maven或者gradle插件即可。

<project>
    ...
    <build>
        ...
        <plugins>
            ...
            <plugin>
              <groupId>org.owasp</groupId>
              <artifactId>dependency-check-maven</artifactId>
              <version>4.0.0</version>
              <executions>
                  <execution>
                      <goals>
                          <goal>check</goal>
                      </goals>
                  </execution>
              </executions>
            </plugin>
            ...
        </plugins>
        ...
    </build>
    ...
</project>

具体配置请参见： https://jeremylong.github.io/DependencyCheck/dependency-check-maven/

其一般工作原理如下（需要网络连接）：

image.png

应用渗透测试工具

常见的开源安全工具ZAP，它是一个黑盒测试，即在应用程序处于运行状态下对其进行测试，其优点是：无须获取源代码，可发现不安全的配置、页面安全缺陷、以及第三方接口安全问题。

运行界面如下：

image.png

ZAP也提供了Jenkins插件和docker镜像，很容易将其集成进我们的流水线，成为持续集成中的一部分。

具体配置请参见：
https://wiki.jenkins.io/display/JENKINS/zap+plugin

针对数据库，可以使用sqlmap, 它是一个开源的渗透测试工具，对不同类型的数据库进行渗透测试，比如sql注入和数据库越权。

具体配置请参见：
http://sqlmap.org/

常见安全注意事项

• 响应头和错误页面中不要包含服务器的版本信息
• 响应中添加安全响应头:X-Frame-Options、X-XSS-Protection、X-Content-
  Type-Options、HSTS
• 关闭spring的actuator接口
• 错误响应( 如400、500)中不要包含敏感信息( 如错误堆栈)
• 如果使用tomcat,注意关闭管理接口
• 如果使用swagger，关闭在产品环境下的接口
• API没有任何认证
• API没有进行限速
• 在应用外围部署WAF
• 应用对输入数据进行有效性验证或进行参数化查询
• 数据库连接账号隔离以及权限最小化
• 敏感数据加密存储