開(kāi)發(fā)人員希望能在軟件開(kāi)發(fā)生命周期早期(SDLC)就能解決關(guān)鍵安全漏洞,這樣可以節省寶貴的時(shí)間、資源和成本。Seeker是目前唯一能夠檢測并自動(dòng)驗證是否有可被利用漏洞的應用安全解決方案,為開(kāi)發(fā)人員提供實(shí)時(shí)準確、可操作的信息。公司可以在軟件投產(chǎn)之前就能保障應用安全來(lái)降低風(fēng)險。
近日,美國新思科技公司(Synopsys, Nasdaq: SNPS )推出了Seeker交互式應用安全測試(IAST)解決方案的新版本。
Seeker最新版本經(jīng)過(guò)重新設計,以支持DevSecOps及持續交付安全的Web應用程序。Seeker在生產(chǎn)前測試周期無(wú)縫集成到CI/CD流程并監控Web應用程序。憑借專(zhuān)利技術(shù),
權威獨立調研機構Forrester Research首席分析師 Amy DeMartine表示:“有34%的開(kāi)發(fā)人員表示他們每天要進(jìn)行多次編譯或簽入操作,應用程序安全測試必須在相同的時(shí)間范圍內運行,否則可能會(huì )使開(kāi)發(fā)機器停止運轉。對于試圖以開(kāi)發(fā)速度測試安全性的企業(yè)來(lái)說(shuō),動(dòng)態(tài)應用安全測試(DAST)一直是一個(gè)負擔。”
Seeker獨特的方式在緊密的“反饋回路”中持續降低應用安全風(fēng)險,補充在開(kāi)發(fā)周期后期進(jìn)行的DAST掃描和滲透測試。DAST掃描和滲透測試通常都需要專(zhuān)門(mén)的帶外數據測試以及手動(dòng)驗證和分類(lèi)結果。為解決軟件依賴(lài)風(fēng)險,Seeker集成了Black Duck Binary Analysis分析工具(此前稱(chēng)為Protecode SC),可自動(dòng)檢測開(kāi)源組件中的已知漏洞和許可證沖突。Seeker也是目前唯一提供敏感數據跟蹤的IAST解決方案,有助于達到行業(yè)標準及符合法規,包括支付卡行業(yè)數據安全標準(PCI DSS)和《通用數據保護條例》(GDPR)等。Seeker開(kāi)箱即用,易于部署,支持大規模、基于云和微服務(wù)的應用程序架構。
新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Andreas Kuehlmann 表示:“Seeker專(zhuān)為采用DevOps的企業(yè)而設計,并利用自動(dòng)化為客戶(hù)持續改進(jìn)軟件。由于其持續監控,無(wú)與倫比的準確性和有針對性的修復指導,Seeker刪除了安全測試的手動(dòng)元素,使開(kāi)發(fā)人員能夠掌控應用風(fēng)險。”
Seeker 2018.07的主要功能包括:
- 主動(dòng)漏洞驗證,精準度高。 Seekers提供自動(dòng)、主動(dòng)驗證以確認檢測到的漏洞是否可被利用,是目前唯一具備這項功能的IAST解決方案。此驗證是通過(guò)獲得專(zhuān)利的技術(shù)實(shí)現的。該技術(shù)使用受污染的參數重放原始HTTP(S)請求,并監視生成的應用程序數據流。結果是誤報率接近于零,顯著(zhù)低于其它IAST和DAST解決方案,并降低了人工驗證的成本。
- 敏感數據跟蹤:Seeker是目前唯一一種允許安全團隊識別和跟蹤敏感數據(如信用卡號,用戶(hù)名和密碼)的IAST工具,以確保安全處理并且不存儲在安全性低或者沒(méi)有加密的日志文件或數據庫中。敏感數據跟蹤可幫助企業(yè)遵守數據安全法規,包括PCI DSS、HIPAA和GDPR。
- CI/CD集成和靈活部署:Seeker幾乎可以部署在任何類(lèi)型的自動(dòng)或手動(dòng)測試環(huán)境中,只需要非常少的配置。Seeker可以通過(guò)本機插件和易于使用的Web API無(wú)縫地融入CI/CD流程,以便漏洞跟蹤、構建和測試自動(dòng)化工具。Seeker支持標準的、基于微服務(wù)和云的應用結構,并可針對大型企業(yè)的需求進(jìn)行擴展。
2018年8月24日進(jìn)行的英文在線(xiàn)研討會(huì )入口:https://www.brighttalk.com/webcast/11447/331260?utm_source=pressrelease
