问有没有在敏捷开发商店中测试安全性的最佳实践？

EN

您的应用程序域是什么？那得看情况。

既然你用了“敏捷”这个词，我猜这是一个web应用。我有一个很好的简单的答案给你。

去买一份Burp Suite吧(这是谷歌搜索“打饱气”的排名第一的结果-这是肯定的认可！)；如果你等到11月，它将花费你99欧元，或180美元，或98美元。

Burp作为web代理工作。你使用Firefox或IE或其他浏览器浏览你的web应用程序，它会收集你生成的所有点击。这些点击被提供给一个被称为“入侵者”的功能，这是一个网络模糊。入侵者将找出您提供给每个查询处理程序的所有参数。然后，它将为每个参数尝试疯狂的值，包括SQL、文件系统和HTML元字符。在一个典型的复杂表单post中，这将产生大约1500次点击，您将通过这些点击来识别可怕的-或者，更重要的是，在敏捷环境中，新的-错误响应。

在每次发布迭代时，模糊web应用程序中的每个查询处理程序是提高应用程序安全性的第一件事，而不需要建立正式的"SDLC“和增加人员。除此之外，请检查您的代码以了解主要的web应用安全热点：

• 只使用参数化的预准备SQL语句；永远不要简单地将字符串连接起来并将它们提供给数据库句柄。
• 会将所有输入过滤到已知良好字符(alnum、基本标点符号)的白名单中，更重要的是，从查询结果中输出过滤数据，以将HTML元字符“中和”为HTML实体(报价、lt、gt等)。在查询参数中使用难以猜测的长随机标识符，并确保用户X不能仅仅通过猜测应用程序中的identifiers.
• Test every查询处理程序来查看用户Y的数据，以确保它们仅在有效的、登录的会话
• 在web堆栈中的XSRF保护上被presented.
• Turn时才起作用，这将在所有呈现的表单上生成隐藏的表单令牌参数。为了防止攻击者创建恶意链接，这些链接将为毫无戒备的用户提交表单。
• 使用bcrypt -而不使用其他-来存储哈希密码。

我不是敏捷开发方面的专家，但我认为将一些基本的自动化笔试软件集成到您的构建周期中将是一个很好的开始。我已经看到了几个软件包，它们将执行基本测试，并且非常适合自动化。

我不是安全专家，但我认为在测试安全性之前，您应该意识到的最重要的事实是您要保护的是什么。只有当你知道你要保护的是什么，你才能对你的安全措施进行适当的分析，只有这样你才能开始测试那些已实施的措施。

非常抽象，我知道。然而，我认为这应该是每个安全审计的第一步。