开发者福音: 解决SDLC 早期关键安全漏洞方案落地

Seeker 针对基于 Web 的应用进行主动验证和敏感数据跟踪,形成交互式应用安全测试解决方案,帮助开发人员在 SDLC 早期解决关键安全漏洞。

开发人员希望能在软件开发生命周期早期(SDLC)就能解决关键安全漏洞,这样可以节省宝贵的时间、资源和成本。Seeker是目前唯一能够检测并自动验证是否有可被利用漏洞的应用安全解决方案,为开发人员提供实时准确、可操作的信息。公司可以在软件投产之前就能保障应用安全来降低风险。 近日,美国新思科技公司(Synopsys, Nasdaq: SNPS)推出了Seeker交互式应用安全测试(IAST)解决方案的新版本。 Seeker最新版本经过重新设计,以支持DevSecOps及持续交付安全的Web应用程序。Seeker在生产前测试周期无缝集成到CI/CD流程并监控Web应用程序。凭借专利技术,  权威独立调研机构Forrester Research首席分析师 Amy DeMartine表示:“有34%的开发人员表示他们每天要进行多次编译或签入操作,应用程序安全测试必须在相同的时间范围内运行,否则可能会使开发机器停止运转。对于试图以开发速度测试安全性的企业来说,动态应用安全测试(DAST)一直是一个负担。”1

Seeker独特的方式在紧密的“反馈回路”中持续降低应用安全风险,补充在开发周期后期进行的DAST扫描和渗透测试。DAST扫描和渗透测试通常都需要专门的带外数据测试以及手动验证和分类结果。为解决软件依赖风险,Seeker集成了Black Duck Binary Analysis分析工具(此前称为Protecode SC),可自动检测开源组件中的已知漏洞和许可证冲突。Seeker也是目前唯一提供敏感数据跟踪的IAST解决方案,有助于达到行业标准及符合法规,包括支付卡行业数据安全标准(PCI DSS)和《通用数据保护条例》(GDPR)等。Seeker开箱即用,易于部署,支持大规模、基于云和微服务的应用程序架构。

新思科技软件质量与安全部门总经理Andreas Kuehlmann 表示:“Seeker专为采用DevOps的企业而设计,并利用自动化为客户持续改进软件。由于其持续监控,无与伦比的准确性和有针对性的修复指导,Seeker删除了安全测试的手动元素,使开发人员能够掌控应用风险。”

Seeker 2018.07的主要功能包括:

  • 主动漏洞验证,精准度高。 Seekers提供自动、主动验证以确认检测到的漏洞是否可被利用,是目前唯一具备这项功能的IAST解决方案。此验证是通过获得专利的技术实现的。该技术使用受污染的参数重放原始HTTP(S)请求,并监视生成的应用程序数据流。结果是误报率接近于零,显著低于其它IAST和DAST解决方案,并降低了人工验证的成本。
  • 敏感数据跟踪:Seeker是目前唯一一种允许安全团队识别和跟踪敏感数据(如信用卡号,用户名和密码)的IAST工具,以确保安全处理并且不存储在安全性低或者没有加密的日志文件或数据库中。敏感数据跟踪可帮助企业遵守数据安全法规,包括PCI DSS、HIPAA和GDPR。
  • CI/CD集成和灵活部署:Seeker几乎可以部署在任何类型的自动或手动测试环境中,只需要非常少的配置。Seeker可以通过本机插件和易于使用的Web API无缝地融入CI/CD流程,以便漏洞跟踪、构建和测试自动化工具。Seeker支持标准的、基于微服务和云的应用结构,并可针对大型企业的需求进行扩展。

更多Seeker交互式应用安全测试信息,请点击:https://www.synopsys.com/zh-cn/software-integrity/security-testing/interactive-application-security-testing.html

2018年8月24日进行的英文在线研讨会入口:https://www.brighttalk.com/webcast/11447/331260?utm_source=pressrelease