新思科技:借助DAST测试保护应用程序安全

发布时间:2023-07-04  

随着越来越多的企业依靠 Web 和移动应用程序来开展业务,应用程序安全漏洞已迅速成为数据泄露的最常见原因。因此,对于各个企业而言,保护其应用程序和代码比以往任何时候都显得更加重要。


独立技术和市场研究公司Forrester发布的《2022年度应用程序安全状况报告》显示,应用程序是最常见的攻击媒介,“Web 应用程序漏洞利用”是最常见的攻击之一。有鉴于此,新思科技建议企业以恶意攻击者的视角去测试其运行的 Web 应用程序,以便在被黑客发现和利用之前识别并修复漏洞。


新思科技软件质量与安全部门软件工程师Rui Paquete介绍道:“动态应用安全测试 (DAST) 运行的 Web 应用程序是否存在 SQL 注入和跨站点脚本等漏洞(换句话说,如果一个应用程序正在运行,它就是动态的)。这些在生产应用程序中被利用的常见漏洞在源代码中并不存在;它们只有在部署到生产环境后才会出现。这使得 DAST成为任何应用安全测试计划的重要组成部分。测试过程是通过HTTP请求和响应进行的。DAST通常也被称为‘黑盒’测试。”


虽然有许多方法可用于测试应用代码的安全和质量,但 DAST 适用于应用已启动到生产中的场景。因此,DAST 可以评估尚未识别和/或修复的潜在软件风险。


DAST可以在应用生命周期的最后阶段执行。虽然仍然可以添加或修改新功能,但应用程序的总体范围已经定义。基于此,DAST 工具可以成为开发团队在应用程序维护方面的强大盟友。如果执行得当,DAST 测试可以显著减少重复工作或技术债务。


DAST的作用类似于拼写检查器。而且,随着时间的推移,默认情况下,DAST还可以被视为更安全的开发实践的教育工具,启发开发人员了解什么方法有效,什么无效。


Rui Paquete指出,编写代码的方法有很多种,加固代码的方法也有很多种。持续执行DAST测试,随着时间推移,这种强化代码过程变得越来越高效,因为模式变得更加明显。例如,您的底层代码中可能存在特定问题,允许Javascript恶意运行。从表面上看,问题在哪里或如何发生可能并不明显。但当使用 DAST 扫描时,您可以清晰地掌握这些信息,并快速确定根本原因——而不是在很长一段时间内单独评估这些问题。这样一来,企业就能够将更多资源投入到其它领域,以不断提高生产力。


企业的首席信息安全官(CISO)应该了解DAST并将其视为编程增强器。企业构建的软件是否安全?测试机制是否贯穿于整个软件开发过程? DAST就是这个过程中不可或缺的环节。它不仅能识别现有软件产品中存在的漏洞类别,而且还可以弥补在软件开发过程早期进行的其它测试的不足。DAST 是一种可以连续自动运行的测试方法。团队可以轻松、持续构建应用程序,并一直维护它们。


值得注意的是,人们对静态应用安全测试 (SAST) 、软件组成分析 (SCA) 及DAST 的功能和应用感到困惑。由于测试方式存在根本差异,SAST、SCA以及DAST的扫描结果不尽相同。因此,大多数企业在开发过程的不同阶段采用了这三种技术。


当开发人员编写代码时,SAST 在软件开发生命周期的早期处理专有代码; SCA 解决开源代码中的质量、安全和许可证合规性问题。 DAST 涵盖应用程序中通过 HTTP 请求和响应传输的信息,是一种有针对性的测试方法。在软件开发过程的各个阶段应用不同工具解决方案是创建强大安全态势的关键。


新思科技中国区软件应用安全技术总监付红勋表示:“软件驱动创新,现在几乎所有业务都基于软件进行。但这些不断演变的应用和系统也可能包含漏洞,不法分子可以利用它们来破坏和窃取关键数据。幸运的是,我们可以通过强大的安全流程来降低大部分风险,并确保新功能和更新得到正确测试。通过将DAST纳入安全流程,企业可以对其生产环境进行彻底和安全的扫描。这使他们能够在功能和安全之间取得平衡,并能够在不影响安全的情况下向客户提供全新特性和功能。”


现在互联网上有超过 20 亿个网站,而且还在不断增多。DAST在大规模测试中大有可为,能随着安全测试需求的变化而快速扩展。DAST为开发团队提供不拖慢开发速度的关键测试能力,以提高代码的安全性和质量。


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

    网联隐私安全测评为出行筑起车网安全“防火墙”;随着信息技术的快速发展,汽车正由单一交通工具加速向智能终端转变,网联智能技术已经成为汽车工业革新的重要推动力。在推进技术变革的过程中,也引入了多种多样的安全......
    问题,包括动态应用安全测试(DAST)、交互式应用安全测试(IAST)、静态应用安全测试(SAST)和软件组成分析(SCA)工具。但是,目前网络安全人才短缺仍是DevSecOps面临......
    指数新规抢先看丨IVISTA 2023版首次引入电气安全测评规程;智能化和电动化深度融合是未来汽车技术发展的重要趋势,为消费者带来全新的智能驾驶体验。然而,随着这种发展趋势,安全......
    指出,使企业能够将安全测试纳入QA(质量保证) 自动化的活动增加了 48%。•将软件安全扩展到产品和应用之外。BSIMM13 数据还显示安全团队正在与运营合作开展更多的活动,以保护不是应用程序的软件(例如......
    新思科技推出软件风险管理平台,简化企业规模应用安全测试;赋能企业持续确保软件安全企业现在越来越意识到软件风险等同于业务风险,可扩展的应用安全计划对于高效管理软件风险至关重要。随着安全......
    新思科技推出软件风险管理平台,简化企业规模应用安全测试;赋能企业持续确保软件安全 企业现在越来越意识到软件风险等同于业务风险,可扩展的应用安全计划对于高效管理软件风险至关重要。随着安全......
    : SNPS)发布了《2023 年全球DevSecOps 现状调查》报告。该报告审查了影响软件安全的策略、工具和实践,由 新思科技网络安全研究中心汇总。新报告基于市场研究咨询机构 Censuswide......
    需要先解决掉一些难题。 她指出:“我曾经使用过新思科技的Coverity静态应用安全测试,可以帮忙解决软件安全和质量缺陷问题。但首先,我必须说服Linx管理层,Coverity静态应用安全测试是一项高回报的投资。随即......
    要任务是通过制定“零缺陷”策略,使团队使用的软件尽可能稳定和安全。在这之前,他们需要先解决掉一些难题。她指出:“我曾经使用过新思科技的Coverity静态应用安全测试,可以帮忙解决软件安全和质量缺陷问题。但首......
    经使用过的Coverity静态应用安全测试,可以帮忙解决软件安全和质量缺陷问题。但首先,我必须说服Linx管理层,Coverity静态应用安全测试是一项高回报的投资。随即,我向主管重点概述了软件......

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>