Macroscope安全漏洞检测工具简介

学习目标:

本介绍旨在帮助感兴趣者尽快了解 Macroscope,这是一款用于安全测试自动化和漏洞管理的企业工具。


全覆盖应用程序安全测试:

如下图所示,如果使用多种互补工具(SAST/DAST/SCA 等)来检测应用程序中的漏洞,测试工作就会变得极具挑战性:
在这里插入图片描述
这些挑战包括开发团队互动的复杂性、每个工具的管道集成数量不断增加、没有集中的结果报告/问题重复,以及没有企业级风险或补救措施的可见性。

Macroscope 旨在应对这些挑战,大规模提供全面覆盖的应用安全测试。


它是如何实现的?

Macroscope 的核心是一个以所有软件工程团队在各种源代码控制系统中开发的源代码为起点的管道。

当源代码管理工具(如 GitHub 或 BitBucket)中发现新代码或修改过的代码时,就会使用供应商提供的开源工具和内部开发的工具对其进行检查。 这些检查结果被关联、去重、排序,并通过一个中央用户界面、多个通信渠道和一个应用程序接口提供。

这样做的结果和带来的价值是,与安全相关的代码问题能被快速、可靠地发现,并为修复和加固提供可操作的信息。
Macroscope 集成的基本示意图如下:
在这里插入图片描述
工作流程:

  1. 通过主动探测可访问的源代码管理系统,并按周期性计划发现要扫描的源代码控制库和分支。
  2. 录入(克隆)源码库内容,检查出所需的分支,并对源码库内容进行初步清查。
  3. 执行安全测试工具并收集其结果。
  4. 存储结果(发现),必要时删除重复结果,并按严重程度排列优先级。
  5. 通过各种沟通渠道(电子邮件、用户界面、通知、报告等)与相关方沟通结果。

核心功能:

  1. 漏洞管理
  • 企业和团队级仪表板
  • 应用程序安全风险综合视图
  • 重复数据删除和关联
  • 假阳性跟踪
  • 风险接受管理
  1. 发现通知
  • 电子邮件
  • 自动拉取回复/合并注释
  • JIRA、票据创建
  • 聊天室、频道、通知
  • 集成开发环境扩展/插件

3. 漏洞扫描

  • 提供始终在线的无摩擦安全性
  • 扫描所有版本库中的所有代码–所有分支
  • 最佳选择–有针对性–以语言为中心
  • 将代码扫描移至最开始–在提交时扫描
  • 主动与被动
  • 静态代码扫描 (SAST)
  • 软件构成分析 (SCA)
  • 动态代码扫描 (DAST)
  • 机密/PAN/凭证检测
  • 基础设施即代码扫描

4. 风险跟踪

  • 每个存储库的字母等级(A-F)
  • 漏洞 SLA 跟踪
  • 有时限的风险验收

更多

  • 全面 - 包括所有必要的扫描
  • 可扩展性–添加新扫描快捷方便
  • 兼容 - 不会破坏现有流程
  • 无障碍 - 让代码扫描变得轻而易举
  • 全面覆盖 - 扫描所有分支、所有项目

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/114646.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

网络取证-Tomcat-简单

题干: 我们的 SOC 团队在公司内部网的一台 Web 服务器上检测到可疑活动。为了更深入地了解情况,团队捕获了网络流量进行分析。此 pcap 文件可能包含一系列恶意活动,这些活动已导致 Apache Tomcat Web 服务器遭到破坏。我们需要进一步调查这一…

解决uniapp的video标签和transition属性使用时出现错位的问题

template:三个视频都每个占满屏幕,点击按钮滚动最外层bgBox元素, style: 想要加上动画过渡效果: 这是显示第一个视频: 点按钮向上滑动滚动到第二个视频时: 视频错位了 ,因为视频消失又出现的时候…

这两天公司面了一个字节来的要求月薪23K,明显感觉他背了很多面试题...

最近有朋友去字节面试,面试前后进行了20天左右,包含4轮电话面试、1轮笔试、1轮主管视频面试、1轮hr视频面试。 据他所说,80%的人都会栽在第一轮面试,要不是他面试前做足准备,估计都坚持不完后面几轮面试。 其实&…

泡泡玛特首度跨界超跑品牌兰博基尼汽车,以潮流基因探索时空边界

近期,泡泡玛特携手兰博基尼汽车,于上海国际赛车场进行了一场玩味十足的赛道体验。25位兰博基尼车主,及多位汽车领域知名媒体人、kol到场参与。兰博基尼跑车巡游、专业车手驾驶的兰博基尼涂装赛车试乘、MEGA SPACE MOLLY 1000%/400%兰博基尼汽…

【Amazon】AWS实战 | 快速发布安全传输的静态页面

文章目录 一、实验架构图二、实验涉及的AWS服务三、实验操作步骤1. 创建S3存储桶,存放网站网页2. 使用ACM建立域名证书3. 设置Cloudfront,连接S3存储桶✴️4. 设置Route53,解析域名服务5. 通过CLI工具上传网页更新内容【可选】 四、实验总结 …

CentOS、linux安装squid搭建正向代理,window11配置正向代理

1.CentOS安装配置squid 1.1.安装 yum install -y squid1.2.修改配置文件 在配置文件添加以下2行代码 acl localnet src 0.0.0.0/0.0.0.0 # add by lishuoboy http_access allow all # add by lishuoboy1.3.启动squid systemctl restart squid2.win11…

node复制当前目录下的文件夹到另一层目录(包含多层文件夹嵌套)

前段时间在跟进node项目时有个node项目的需求,然后上线流程是把前端build后的文件夹放到后端仓库的静态资源目录下,再把后端代码发布上线。这样做的好处是在前端页面调用接口时,可以直接 /xxx来调用(浏览器会自动把域名补全&#…

基于仿真的飞机ICD工具测试

机载电子系统是飞机完成飞行任务的核心保障之一。从1949年新中国建立至今70余年的发展过程中,随着我国在航空航天领域的投资逐年增多,机载电子系统大致经历了四个发展过程阶段,按照出现的先后顺序进行排序,分别为: 1、…

Springboot使用EasyExcel导入导出Excel文件

1&#xff0c;准备Excel文件和数据库表结果 2&#xff0c;导入代码 1&#xff0c;引入依赖 <!-- https://mvnrepository.com/artifact/com.alibaba/easyexcel --><dependency><groupId>com.alibaba</groupId><artifactId>easyexcel</artifac…

掌握微信批量添加好友技巧,让你的社交更高效

微信作为当今的热门通讯工具&#xff0c;在企业营销中扮演着越来越重要的角色。然而&#xff0c;微信并没有提供自动批量添加好友的功能&#xff0c;给运营者带来了不小的挑战。一个个手动添加不仅耗时&#xff0c;而且频繁操作还容易导致账号被封。本文将介绍几种手动批量添加…

PHP foreach 循环跳过本次循环

$a [[id>1],[id>2],[id>3],[id>4],[id>5],[id>6],[id>7],[id>18],];foreach($a as $v){if($v[id] 5){continue;}$b[] $v[id];}return show_data(,$b); 结果&#xff1a;

Linux软件安装包管理器yum

Linux软件安装 Linux软件安装的本质 ​ 对于安装软件最基本的理解就是把可执行程序拷贝到指定路径下&#xff0c;我们知道直接输入指令就可以实现想要的功能&#xff0c;这些指令本质上都是放在指定路径下的可执行文件&#xff0c;如果我们把写好的程序编译后的可执行文件放到…

dubbo没有找到生产者

1、没有找到生产者 com.alibaba.dubbo.rpc.RpcException: No provider available from registry 127.0.0.1:2181 for service .... , please check status of providers(disabled, not registered or in blacklist)2、 查看是不是 对应的providers 没有 注册上去 找到 zk 对应…

Java 为什么不推荐在 while 循环中使用 sleep() 我悟了

文章目录 前言原因是否正确方案是否合理定时轮询场景事件机制等待和唤醒 个人简介 前言 最近逛 CSDN 看到一篇文章&#xff0c;文章大意是说为什么在循环中不推荐使用 sleep 操作&#xff0c;原因在于线程挂起和唤醒会有很大的性能消耗&#xff0c;并推荐使用 Timer 及 Schedu…

[SpringCloud | Linux] CentOS7 部署 SpringCloud 微服务

目录 一、环境准备 1、工具准备 2、虚拟机环境 3、Docker 环境 二、项目准备 1、配置各个模块&#xff08;微服务&#xff09;的 Dockerfile 2、配置 docker-compose.yml 文件 3、Maven 打包 4、文件整合并传输 三、微服务部署 1、部署至 Docker 2、访问微服务 四…

视频特效制作After Effects 2024 for Mac(ae)

After Effects 2024是一款由Adobe公司开发的专业的视频特效和动态图形设计软件&#xff0c;它可以帮助用户创建各种令人惊叹的视觉效果&#xff0c;例如粒子系统、合成特效、绿屏抠像等。该软件支持动画制作&#xff0c;包括关键帧动画、形状动画、运动跟踪等工具&#xff0c;可…

SpringCloud(二) Eureka注册中心的使用

在SpringCloud(一)中,我们学会了使用RestTemplate进行远程调用,但是在调用user-service时候需要在order-service中发送http请求,请求中需要书写对应微服务的ip和端口号,十分不方便,如果此时有多个user-service实例的话,就不知道调用哪个了(除非每次调用的时候都对ip和端口号进行…

【java零基础入门到就业】第四天:Notepad++软件的下载和安装

文章目录 Notepad软件简介下载安装 Notepad软件 简介 Notepad&#xff08;又称Notepad Plus Plus&#xff09;是一款免费的文本编辑器&#xff0c;是Windows操作系统下非常受欢迎的开源软件。它提供了许多强大的功能&#xff0c;适合用于编写各种编程语言的源代码、编辑文本文…

Redis缓存穿透、击穿、雪崩问题原理和解决方案

目录 一、Redis缓存穿透1.1、缓存穿透原理1.2、缓存穿透代码演示1.3、缓存穿透解决方案解决方案一&#xff08;数据库中查询不到数据也将key进行缓存&#xff09;解决方案二&#xff08;使用布隆过滤器&#xff09; 二、Redis缓存击穿&#xff08;缓存失效&#xff09;三、Redi…

Notes/Domino中的JVM版本

大家好&#xff0c;才是真的好。 这篇内容主要写给同时关注Domino和Java的技术人员。 很多人都知道&#xff0c;从Notes/Domino R5&#xff08;1999年&#xff09;版本&#xff0c;开始自带一个Java虚拟机&#xff0c;用来支持Java应用运行。但很多人不知道&#xff0c;这个J…