Search
要來跟大家分享一個關於 HTTP Cache 的知識,或許大多數的朋友都已經知道了,主要是分享給還不知道的朋友。
就是大多數的 Browser 及 Proxy/CDN 沒有實作 HTTP POST 的 Cache,也就是說我們用 POST 來查找資料,大多數的 Browser 及 Proxy/CDN 是不會幫我們 Cache 的,每次的 POST 都是穿透回伺服器執行。
即使我們像圖片中加了 Cache-Control,也沒有用的,所以,我們查找資料的 Api 盡量用 HTTP GET,來避免掉一些麻煩。
ref: https://medium.com/devopscurry/securing-your-ci-cd-pipelines-with-devsecops-in-2021-1a6a6e34f2e7
本篇文章作者想要探討的是如何透過 DevSecOps 的概念來強化你的 CI/CD 流程。
文章開頭探討了些關於 DevOps 文化以及對團隊帶來的改變,如何將 Dev, Ops 的工作流程給帶入到一個不同的領域,這部分想必大家都熟識了,所以這邊就不敘述太多。
接者作者開始思考,CI/CD 這種自動化的過程中,如果我們想要檢查資安與安全性相關,那到底有什麼樣的資訊市值得我們去檢查與研究的?
假設今天採用的是市面上 SaaS 服務的所提供的 Pipeline 平台,這些平台本身的資安問題並不是使用者可以去處理的,這方面只能仰賴這些服務提供商能夠有效且安全的去防護系統。因此作者認為我們應該要將注意力放在我們自行設計的 pipeline 過程中。
作者接者列舉了幾個議題,譬如
1. Source Code Vulnerabilities
這個議題要檢查的是軟體本身是否有相關的漏洞
2. OSS Library Vulnerabilities
所有使用到的 OSS Library 也都可能有漏洞需要注意,所以平常也要多注意 CVE 相關的資訊,有任何可以修復的機會時,團隊一定要評估是需要升級相關的 OSS
3. OSS Version
OSS 的社群也是會不停的開發與迭代,某些版本可能多年後就不被該社群團隊給維護,所以如果目前使用的 OSS 版本已經被標示為 deprecated,那意味就算有任何漏洞可能都不會有相關維護者去補修。因此團隊也要審慎評估是否要趕緊升級到一個有被維護的版本
4. Identifying Compromising Credentials
CI/CD 系統中不免都會有一些跟機密資訊有關的資料,這些資料是有可能當初處理時沒有被妥善管理,譬如不小心被 commit 到 source code 之類的,這部分的錯誤也都要避免。
檢查方面,作者提出不同的方式來檢查,譬如
1. Static Application System Testing(SAT)
程式編譯前的靜態掃描,該方法會嘗試分析程式碼本身是否有安全性漏洞,也是俗稱的白箱測試。
2. Active and Passive penetration t est (Dynamic Analysis)
3. Infrastructure Analysis
該方法包含了檢查環境中用到的設定檔案,伺服器狀態等,透過這些資訊來了解當前是否有什麼潛在的問題
最後,作者列舉出一些相關的工具,譬如
1. Checkmarx
2. IMMUNIO
3. Aqua Security
4. OWASP Zed Attack Proxy
5. Twistlock
6. CyberArk
7. WhiteSource
8. CHef InSpec
9. Fortify Webinspect
談到跳板,大家的印象多是透過軟體來突破網管限制,拜訪本來受管制的網站,簡單的說就是偽造目的地,讓防火牆不知道你要去哪裡。在翻牆應用裡,透過VPN及代理伺服器(Proxy)來當跳板是最常見的2種作法。
#密碼 #password #資訊安全
密碼就是你的資安破口 介紹幾個資訊安全的小技巧 - Wilson說給你聽
1. 密碼不要貼在任何通訊軟體跟email
2. 強化路由器密碼
3. 強化wifi密碼 且不要跟管理者帳號一樣
4. 隨時更新最新firmware
5. 關閉沒有必要的proxy
6. 打開路由器防火牆以及防毒
7. 下載任何軟體請到官方路徑 不要下載來源不明的第三方
8. 養成定時更改密碼的習慣
9. 不同網站使用不同密碼
四、Proxy Server 如何運作? 一、 Proxy 是什麼? Proxy 這字是『代理』的意思。這字最早應是出現在網 ... ... <看更多>
Proxy (網頁代理伺服器) 設定—Chrome. 1. 開啟Chrome 瀏覽器,進入進階設定功能. Page 2. 2. 進入網路→變更Proxy 設定→LAN 設定. Page 3 ... ... <看更多>
proxy伺服器 在 代理伺服器- 維基百科,自由的百科全書 的相關結果
提供代理服務的電腦系統或其它類型的網路終端稱為代理伺服器英語:Proxy Server。一個完整的代理請求過程為:客戶端首先根據代理伺服器所使用的代理協定,與代理伺服器 ... ... <看更多>