github安全测试和扫描方法的常见问题

安全测试和扫描方法的常见问题
 
1.  缺陷测试有哪几种?
 
腾讯云GitHub在生产之前使用许多策略来检测缺陷,包括自动化测试和分析以及人工代码审查。

2.  渗透和应用测试方法有哪些?
 
自2010年以来,GitHub Security已聘请第三方安全顾问执行独立渗透和应用程序安全测试。测试方法包括OWASP、漏洞类等。最近一次参与Application Security与Cure53签约;可以提供该报告的客户版本。

3.  是否可以使用客户数据进行测试?
 
腾讯云GitHub的测试平台利用可公开访问的或GitHub的内部代码库进行测试。禁止使用客户私人源代码或客户信息进行测试或开发。

4.  安全扫描多久运行一次?
 
腾讯云GitHub托管漏洞扫描每周执行一次,根据风险和技术依赖性对调查结果进行优先排序,并根据风险和风险进行处理。
 
腾讯云GitHub应用程序安全合同用于外部漏洞扫描,作为其第三方评估的一部分,这些扫描的结果是在相同的优先级排序过程之后解决的。

5.  您是否有基于CVSS的漏洞管理策略或程序?
 
是的,腾讯云GitHub有一个基于严重性(严重,高,中,低)的CVSS漏洞管理标准,将CVSS级别与对客户和业务的补​​救选项的影响分析相结合,然后与特定SLA保持一致。内部文档仅分类为机密,仅供内部使用。

6.  漏洞怎么更新?
 
针对腾讯云GitHub应用程序安全性、操作安全性和站点可靠性等问题,腾讯云团队根据风险程度,对供应商的漏洞、内部和外部扫描以及补丁进行分类,通过自动和手动过程的组合来进行和管理修补。
 
所有基于Linux的服务器都使用适当的安全版本进行修补,以解决CVE漏洞。我们使用配置管理工具来自动化这些补丁的应用。

标签