Security design review
我们将与 AWS Security Agent 交互来执行安全设计审查。
Design review有助于在开发生命周期的早期识别安全问题,使我们能够在解决架构问题最具成本效益的时候解决它们。
AWS Security Agent根据我们组织的安全要求分析我们的设计文档,提供详细的安全发现,以在实施开始前改善安全状况。
创建第一个安全设计审查
现在我们已经自定义了一组AWS管理的和自定义的安全要求,让我们通过安全设计审查来应用这些要求。
导航回到Agent Space详情页面,向下滚动到Web app部分,点击Admin Access按钮返回到AWS Security Agent网络应用程序。
加载到网络应用程序后,从左侧窗格中选择Design reviews页面。这将带我们进入一个概览表,其中包含Agent进行的所有设计审查的详细信息。由于我们刚刚创建了我们的Agent,表格应该是空的。
选择Create your first design review,填写标题,例如Juice Shop initial security review。
我们提供了一份涵盖Juice Shop应用程序的深入设计文档:
下载链接: https://pingfan.s3.amazonaws.com/files/sec353_juice_shop_design.pdf
将文档上传到审查对话框中。在提交安全设计审查之前,我们的页面应该类似于下图。点击绿色的Start design review。
提交设计审查后,它的状态变成In-progress:
AWS Security Agent可能需要几分钟时间来完成对您上传文档的安全设计审查。
查看已完成的安全设计审查
在 AWS Security Agent 完成安全设计审查后,深入查看审查详情页面。在页面顶部附近,Agent 将显示其发现的摘要,按以下方式分类:
-
不合规 - 您的文档被发现不符合的安全要求数量。
-
数据不足 - 根据上传的文档,AWS Security Agent 无法验证的安全要求数量。Agent 的输出可能会指定它需要的额外信息来做出判断。
-
合规 - Agent 发现您的文档符合的安全要求数量。
-
不适用 - Agent 发现与所描述应用程序无关的安全要求数量。
向下滚动页面,会找到一个Review findings表格,其中 AWS Security Agent 列出了在其安全设计审查中使用的所有已启用的安全要求。
每个安全要求都可以点击,以了解 AWS Security Agent 的分析和整改建议。
我们特别关注 JWT 自定义安全要求相关的发现:
在整改指导中,AWS Security Agent 提供了具体建议,以充分完善这个敏感的设计组件。这包括设计中未提及的 audience 和 issuer 检查。
针对安全设计审查发现采取行动
此时,我们已经从 AWS Security Agent 收到了关于 Juice Shop 中可能不完整的 JWT 实现的相关发现。
让我们转向代码并进一步调查,并利用 AWS Security Agent 帮助我们对生产代码库进行安全更改。