如何最大化的将漏洞扼杀在摇篮里

安全攻城狮在公司存在之初，刚开始更多进行的是救火的工作，救火工作并不能从根源上解决漏洞的产生。

如何最大化的将漏洞扼杀在产生之初，这个实际上某个dalao提的问题，问了几位老司机，做一下小笔记。

1，定期化的安全培训，需要注重培训效果、培训次数、培训覆盖面、帮助文档、培训反馈；

2，系统设计阶段，就需要安全测试小伙伴的介入，了解开发过程、熟悉业务流程，只有掌握足够多的信息，才能发现更多的问题；

3，在目标系统测试环境部署支持agent的扫描器，部署agent之后，可以和扫描器进行联动；

4，给功能测试、性能测试同学开发安全相关插件，插件的功能是收集系统的各种请求，并上报给扫描器进行自动化扫描；

5，部署针对测试网段的流量镜像，从流量中提取分离出URL，进行自动化扫描。

6，黑盒测试、白盒代码审计也是必须的。

以上几点算是属于方法论吧，具体的技术手段可以借助某些开源系统，也可以自己造轮子。