漏洞管理流程生命周期
2024-04-03 15:27:02 0 举报漏洞管理流程生命周期
作者其他创作
大纲/内容
代码审计
每个月或者每个季度进行一次漏洞检查
黑盒测试
有漏洞
研发人员提供相应的账号密码以及测试环境,测试是否存在漏洞
网络安全部:渗透测试人员通过漏洞扫描、安全测试、日志分析等手段,采集到系统中存在的潜在漏洞
系统运营部:对本次上线的功能点、网站提出安全准入测试工单
研发人员提供完整的程序代码,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞
提交工单
网络安全部:渗透测试人员在xx系统下载工单,与研发人员确认工单中需要测试的内容无误
漏洞追踪
在线漏洞管理流程
确认工单
对互联网暴露面存在资产进行无差别测试(在渗透测试标准范围内,保证业务正常运行)
系统运营部:标注好测试环境访问方式和连接,明确本次上线的功能点内容,明确测试范围,相关负责人联系方式
提交工单-备注存在xx漏洞,标注危害等级,需进行漏洞修复或者选择测试未通过
网络安全部:对修复后的漏洞进行验证,确保漏洞已经被成功修复,修复效果已达到预期效果。
代码编写
漏洞采集
漏洞修复
漏洞验证
漏洞通报
研发部门:编写代码,构造程序,保证程序可正常运行
网络安全部:渗透测试人员将已经发现的漏洞向相应的负责人或团队进行通报,包括漏洞的详细描述、评估结果、修复建议等
白盒测试
网络安全部:对修复的漏洞进行追踪,确保修复效果持续稳定。
对测试步骤进行截图证明,提交工单备注存在xx漏洞,标注危害等级,需对该漏洞进行整改修复,对涉及危害较大漏洞的业务进行紧急下线
研发部:根据漏洞的评估结果和通报情况,对未通过安全准入的代码进行漏洞修复,制定漏洞修复计划,安排相应的技术人员进行修复,修复后再次提交工单进行复测。
无漏洞
提交工单-备注未发现漏洞或者选择测试通过
安全准入
收藏
0 条评论
下一页
