Tópicos técnicos

O que é segurança de aplicativos?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

A segurança de aplicativos é a disciplina de processos, ferramentas e práticas que visam a proteger os aplicativos contra ameaças durante todo o ciclo de vida do aplicativo. Os criminosos cibernéticos são organizados, especializados e motivados a encontrar e explorar vulnerabilidades nos aplicativos corporativos para roubar dados, propriedade intelectual e informações confidenciais. A segurança de aplicativos pode ajudar as organizações a proteger todos os tipos de aplicativos (como legados, desktop, Web, móveis e microsserviços) usados por participantes internos e externos, incluindo clientes, parceiros comerciais e funcionários.

Segurança de aplicativos

Por que segurança de aplicativos?

Conforme validado por vários estudos, a maioria das violações bem-sucedidas tem como alvo vulnerabilidades exploráveis que residem na camada de aplicativos, o que indica a necessidade de os departamentos de TI das empresas ficarem ainda mais atentos à segurança dos aplicativos. Para agravar ainda mais o problema, o número e a complexidade dos aplicativos estão aumentando. Há dez anos, o desafio da segurança de software consistia em proteger aplicativos de desktop e sites estáticos que eram razoavelmente inócuos e fáceis de serem avaliados e protegidos. Agora, a cadeia de suprimentos de software é muito mais complicada, considerando o desenvolvimento terceirizado, o número de aplicativos legados, juntamente com o desenvolvimento interno que aproveita componentes de software de terceiros, de código aberto e comerciais, prontos para uso.

As organizações precisam de soluções de segurança de aplicativos que abranjam todos os seus aplicativos, desde os usados internamente até os aplicativos externos populares usados nos telefones celulares dos clientes. Essas soluções devem abranger todo o estágio de desenvolvimento e oferecer testes depois que um aplicativo for colocado em uso para monitorar possíveis problemas. As soluções de segurança de aplicativos devem ser capazes de testar os aplicativos da Web em busca de vulnerabilidades potenciais e exploráveis, ter a capacidade de analisar códigos, ajudar a gerenciar os processos de gerenciamento de segurança e desenvolvimento, coordenando esforços e permitindo a colaboração entre as várias partes interessadas. As soluções também devem oferecer testes de segurança de aplicativos que sejam fáceis de usar e implementar.

O que é SAST, DAST e SCA?

O que é SAST?

O teste estático de segurança de aplicativos (SAST ) examina os arquivos de origem do aplicativo, identifica com precisão a causa raiz e ajuda a corrigir as falhas de segurança subjacentes.

Benefícios dos testes estáticos de segurança de aplicativos

Identificar e eliminar vulnerabilidades no código-fonte, binário ou de bytes.
Revise os resultados da verificação de análise estática em tempo real com acesso a recomendações, navegação por linha de código para encontrar vulnerabilidades mais rapidamente e auditoria colaborativa.
Totalmente integrado ao Integrated Developer Environment (IDE).

O que é DAST?

O Dynamic Application Security Testing (DAST ) simula ataques controlados a um aplicativo ou serviço da Web em execução para identificar vulnerabilidades exploráveis em um ambiente em execução.

Benefícios dos testes dinâmicos de segurança de aplicativos:

Oferece uma visão abrangente da segurança de aplicativos, concentrando-se no que é explorável e abrangendo todos os componentes (servidor, código personalizado, código-fonte aberto, serviços).
Pode ser integrado ao desenvolvimento, controle de qualidade e produção para oferecer uma visão holística contínua.
A análise dinâmica permite uma abordagem mais ampla para gerenciar o risco do portfólio (milhares de aplicativos) e pode examinar aplicativos legados como parte do gerenciamento de riscos.
Testa o aplicativo funcional, portanto, ao contrário do SAST, não é restrito à linguagem e é possível descobrir problemas relacionados ao ambiente e ao tempo de execução.

O que é SCA?

A Análise de Composição de Software (SCA) é um processo automatizado que ajuda a identificar e rastrear os componentes de código aberto usados nos aplicativos. Ferramentas mais robustas de SCA podem analisar todos os componentes de código aberto quanto a riscos de segurança, conformidade com licenças e qualidade do código.

Benefícios da análise de composição de software:

Obtenha visibilidade e compreensão dos componentes de código aberto em sua organização (forneça uma lista de materiais de software).
Automação de políticas para evitar problemas de segurança e licença.
Sugestões de correção para vulnerabilidades e aconselhamento sobre riscos de licenças.
Analisar a saúde dos projetos de código aberto para eliminar o risco causado por comunidades pobres ou em decadência.

No local vs. SaaS vs. Serviço gerenciado

As soluções de segurança de aplicativos consistem no software de segurança cibernética (as ferramentas) e nas práticas que executam o processo para proteger os aplicativos.

No local

As soluções de teste de segurança de aplicativos podem ser executadas no local (internamente), operadas e mantidas por equipes internas. Essa abordagem exige que as organizações forneçam a infraestrutura e a equipe e adquiram soluções de segurança de aplicativos para seu uso. O local garante às organizações que os dados de seus aplicativos não sejam compartilhados com terceiros e não saiam do local.

SaaS

A segurança de aplicativos como uma oferta de SaaS fornece soluções baseadas na nuvem com uma interface de usuário baseada na Web, permitindo que o cliente configure, execute e gerencie a segurança de aplicativos. Essa opção ainda exige que as organizações forneçam a equipe e o conhecimento necessários para executar as várias ferramentas de teste de segurança de aplicativos, mas sem a necessidade de fornecer infraestrutura, manutenção, atualizações etc.

Serviço gerenciado

A segurança de aplicativos também pode ser um serviço gerenciado em que o cliente consome serviços fornecidos como uma solução pronta para uso pelo provedor de segurança de aplicativos. Essa abordagem não exige nenhum dos pré-requisitos da abordagem no local, mas requer a dependência parcial ou total do fornecedor de SaaS e, na maioria dos casos, permite que os dados do aplicativo sejam compartilhados com o fornecedor. A segurança de aplicativos como um serviço gerenciado é uma maneira fácil de começar e pode oferecer escalabilidade e velocidade. As implementações híbridas (usando serviços locais, SaaS e gerenciados juntos em diferentes projetos e práticas) têm como objetivo oferecer o melhor dos dois mundos, proporcionando flexibilidade, escalabilidade e otimização de custos.

O que é o OWASP Top 10?

OWASP Top 10

O Open Web Application Security Project(OWASP) é uma comunidade de segurança de aplicativos de código aberto com o objetivo de melhorar a segurança do software. Suas diretrizes OWASP Top 10, padrão do setor, fornecem uma lista dos riscos de segurança de aplicativos mais críticos para ajudar os desenvolvedores a proteger melhor os aplicativos que projetam e implantam.

Soluções de segurança de aplicativos

OpenText As soluções de segurança de aplicativos oferecem testes e gerenciamento de segurança de aplicativos no local, hospedados e como serviço para ajudar as empresas a proteger seus aplicativos de software, incluindo aplicativos legados, móveis, de terceiros e de código aberto.

Fortify As ofertas incluem análise de código estático, teste dinâmico de segurança de aplicativos, análise de composição de software (SCA) e ferramentas interativas de teste de segurança de aplicativos para fornecer segurança de código para seus aplicativos da Web, APIs, aplicativos móveis, infraestrutura como código, contêineres e cadeia de suprimentos de software.

As soluções incluem:

OpenText™ Fortify™ Static Code Analyzer - Teste estático de segurança de aplicativos (SAST) - Identifica e aponta vulnerabilidades de segurança no código-fonte no início do ciclo de vida de desenvolvimento do software.

OpenText™ Fortify™ WebInspect - Teste dinâmico de segurança de aplicativos (DAST) - Simula ataques de segurança do mundo real em um aplicativo em execução para fornecer uma análise abrangente de aplicativos e serviços complexos da Web.

OpenText™ Fortify™ On Demand - Segurança como serviço - Uma maneira simples, fácil e rápida de testar aplicativos com precisão sem precisar instalar ou gerenciar software ou adicionar recursos adicionais.

Segurança móvel - metodologia de teste móvel que testa todos os três níveis, incluindo o cliente, a rede e o servidor.

OpenText™ A nuvem de segurança cibernética é um repositório de gerenciamento centralizado que oferece visibilidade de todo o programa de testes de segurança de aplicativos. Ele prioriza, gerencia e rastreia as atividades de teste de segurança e fornece uma imagem precisa do risco de segurança do software em toda a empresa.

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Banco de dados analíticoBanco de dados analítico

Análise de dados não estruturadosAnálise de dados não estruturados

Inteligência de negócios e relatóriosInteligência de negócios e relatórios

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Pesquisa empresarialPesquisa empresarial

Aviator Search

Business Network CloudBusiness Network Cloud

Integração da cadeia de suprimentosIntegração da cadeia de suprimentos

Serviços de integração B2BServiços de integração B2B

Colaboração do ecossistemaColaboração do ecossistema

Business Network Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Integrações de negóciosIntegrações de negócios

Captura e processamento inteligente de documentosCaptura e processamento inteligente de documentos

Information ArchivingInformation Archiving

Automação de processosAutomação de processos

Governança da informaçãoGovernança da informação

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Identity and Access ManagementIdentity and Access Management

Privacidade e proteção de dadosPrivacidade e proteção de dados

Investigações e perícias digitaisInvestigações e perícias digitais

Inteligência sobre ameaçasInteligência sobre ameaças

Detecção e resposta a ameaçasDetecção e resposta a ameaças

Cybersecurity Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud documentação técnicaDeveloper Cloud documentação técnica

Aviator Thrust

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Teste funcionalTeste funcional

Engenharia de desempenhoEngenharia de desempenho

DevOps Aviator

Experience CloudExperience Cloud

Experiências de marca e na WebExperiências de marca e na Web

MensagensMensagens

Jornada do cliente e dadosJornada do cliente e dados

Media ManagementMedia Management

Análise do centro de contatoAnálise do centro de contato

Experience Aviator

IT Operations CloudIT Operations Cloud

Gerenciamento de serviçosGerenciamento de serviços

FinOpsFinOps

AIOps e observabilidadeAIOps e observabilidade

AutomaçãoAutomação

Gerenciamento de redeGerenciamento de rede

IT Operations Aviator

PortfolioPortfolio

Proteção de dados e backup de endpointsProteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvelGerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipeTrabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dadosArquivamento, eDiscovery e segurança de dados

Informações reimaginadasInformações reimaginadas

Inteligência ArtificialInteligência Artificial

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoria e estratégiaServiços de consultoria e estratégia

Serviços de consultoriaServiços de consultoria

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

BlogsBlogs

EventosEventos

Em destaque

Analytics Cloud

Banco de dados analítico

Análise de dados não estruturados

Inteligência de negócios e relatórios

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Pesquisa empresarial

Business Network Cloud

Integração da cadeia de suprimentos

Serviços de integração B2B

Colaboração do ecossistema

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Integrações de negócios

Captura e processamento inteligente de documentos

Information Archiving

Automação de processos

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Identity and Access Management

Privacidade e proteção de dados

Investigações e perícias digitais

Inteligência sobre ameaças

Detecção e resposta a ameaças

Developer Cloud

Information Management Services

Developer Cloud documentação técnica

DevOps Cloud

Plataforma DevOps

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Teste funcional

Engenharia de desempenho

Experience Cloud

Experiências de marca e na Web

Mensagens

Jornada do cliente e dados

Media Management

Análise do centro de contato

IT Operations Cloud

Gerenciamento de serviços

FinOps

AIOps e observabilidade

Automação

Gerenciamento de rede

Portfolio

Proteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dados

Informações reimaginadas

Inteligência Artificial

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria e estratégia

Serviços de consultoria

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navigator