持续集成测试(CIT)-Microsoft.ppt

应用安全性的高效检测方案 日程 什么是持续集成测试 如何保证开发出安全的Web应用 开发面临的挑战 在更短的时间构建应用系统 降低开发成本 在人数不变的情况下实现更多功能 可靠性和性能 降低应用失败的风险 复杂的应用系统–分布式开发 紧跟日新月异的技术更新 更短的学习曲线 协调已存在或遗留的代码 当今的现状 单元测试不充分也不规范 测试关注功能的完成而不关心性能如何 单元测试不回头测试导致回归测试的潜在问题 不关心整个项目的质量是短视行为,他们只关注开发团队写了什么，而不关心写的如何？是否稳定？等 调试时间 你有多长时间花费在调试应用上? 当今的现状? 性能和扩展性问题直到开发后期才暴露出来 开发人员重新修改代码导致测试的延迟和测试时间的减少 开发人员继续开发 开发人员可能重新修改几个月前的代码 当今的现状? 产品失败的风险因为没有足够的时间执行测试而大大增加 导致公司业务收入减少 项目取消 项目团队对自身的能力以及项目的管理失去信心 更早地找到和解决问题 更早阶段定位问题使解决问题更容易,花费更少的时间 提交给测试的应用系统有更强的可靠性和扩展性 更多时间关注功能质量 由于不充分地测试而使应用上线失败的风险大大降低 如何提高成功率,降低缺陷率 持续集成测试(CIT) …更早测试, 反复测试? 持续集成测试(CIT) 在测试平台做每日构建(Daily Build) 在单元测试阶段引入先进工具测试性能并测试每日新增的功能 在每日构建的基础上每天做所有单元和功能测试 测试全部自动化并能在前一个夜晚运行无需打扰开发人员 持续集成测试(CIT) 许多代码问题在刚刚书写时就能及早发现 能够以以前的构建系统为基准衡量改进后系统的性能 随着开发的进度积累测试资产库 在通常的功能和压力测试时就有高质量的代码 Compuware’s CIT 解决方案 自动化软件质量工具可以做到 TestPartner: 录制和回放单元测试脚本 脚本在功能测试时可以使用 DevPartner Studio: 分析代码 代码评审, 内存分析, 性能分析, 自动化错误发现, 线程死锁发现 DevPartner FaultSimulator: 测试错误处理机制 DevPartner SecurityChecker: 测试 ASP.NET 的安全缺陷 TrackRecord: 缺陷管理和分配 Compuware CIT 实践 (.NET) CIT 和 微软环境 微软如是说? 客户对CIT 如是说? DevPartner Studio 是市场的领导者 架起调试的桥梁 问题 : 持续集成测试(CIT)的优点是什么? 确保应用系统的安全 为什么要安全检测? 典型的安全部署环境 安全概览 应用层攻击(Attacks) “如今70% 的攻击是从应用层成功而不是网络或者服务器层，对于公司的Web站点或Web应用.” - Gartner Group 应用系统的安全问题 为什么开发产品 SecurityChecker? “司法专家指出计算机犯罪以比一般犯罪更快的速度增长.” – M 没有100％安全的应用系统 黑客总是试图攻破应用系统 WWW 提供了伟大的知识共享, 但端口 80 是公司环境的开放窗口 一些公司试图构造安全的应用，但他们不能衡量他们的工作结果 安全隐患被黑客发现意味着什么呢？ 它可能导致关键信息被偷窃和数百万美元的损失 什么是 SecurityChecker? 强大的安全分析工具，可以定位 ASP.NET 应用中潜在的安全隐患 Inside-Out and Outside-In 提供了三种分析方法 编译期分析 (128规则) 搜索代码和Microsoft 中间语言 (MSIL)中的隐患 运行期分析 (114规则) 在代码执行期发现隐患 集成分析 (121规则) 模拟攻击来定位隐患 Inside-Out and Outside-In 能发现什么类型的问题? 安全上下文 当它进行工作时应用被验证和身分定义(NTLM, 形式认证, NET 代码通入安全, Session Cookies)相关的问题 不安全的代码书写 编程上已知道会导致安全弱点的样式 (即在ASPX 页 Tracing / Debugging设置、数据库帐户弱的密码、在注解可能显露的秘密等...) 运行期错误 发生在应用运行时暴露应用于攻击的错误(即 SQL Injection, 未处理的例外情况, 等...) 应用集成 应用的数据因为保密性和防御原因有需要被保持秘密(即用户ids 和密码)相关的问题 部署问题 对各种各样的应用配置细节, 譬如文件系统安全、远程存取能力、