技术主题

什么是应用程序安全?

以问号为重点的信息技术项目图示

概述

应用程序安全是一门程序、工具和实践的学科,旨在保护应用程序在整个应用程序生命周期中免受威胁。网络犯罪分子是有组织、专业化和有动机的,他们会发现并利用企业应用程序中的漏洞来窃取数据、知识产权和敏感信息。应用程序安全可帮助企业保护内部和外部利益相关者(包括客户、业务合作伙伴和员工)使用的各种应用程序(如传统、桌面、网络、移动、微服务)。

应用安全

为什么需要应用程序安全?

多项研究证实,大多数成功的漏洞都是针对应用层中的可利用漏洞,这表明企业 IT 部门需要对应用安全格外警惕。应用程序的数量和复杂性不断增加,使问题更加复杂。十年前,软件安全面临的挑战主要是保护桌面应用程序和静态网站,这些应用程序和网站相当无害,很容易确定范围和进行保护。现在,考虑到外包开发、遗留应用程序的数量以及利用第三方、开放源码和现成商业软件组件的内部开发,软件供应链要复杂得多。

企业需要涵盖其所有应用程序的应用程序安全解决方案,从内部使用的应用程序到客户手机上使用的流行外部应用程序。这些解决方案必须涵盖整个开发阶段,并在应用程序投入使用后提供测试,以监控潜在问题。应用程序安全解决方案必须能够测试网络应用程序是否存在潜在和可利用的漏洞,具有分析代码的能力,通过协调各利益相关方的工作并促成他们之间的合作,帮助管理安全和开发管理流程。解决方案还必须提供易于使用和部署的应用程序安全测试。

什么是SAST,DAST, 和 SCA?

SAST 是什么?

静态应用程序安全测试(SAST) 扫描应用程序源文件,准确找出根本原因,并帮助修复潜在的安全漏洞。

静态应用程序安全测试的优势

  • 识别并消除源代码、二进制代码或字节码中的漏洞。
  • 实时查看静态分析扫描结果,获取建议、代码行导航以更快地发现漏洞,并进行协作审核。
  • 与集成开发环境(IDE)完全集成。

DAST 是什么?

动态应用程序安全测试(DAST) 模拟对运行中的网络应用程序或服务的受控攻击,以识别运行环境中可利用的漏洞。

动态应用程序安全测试的好处:

  • 通过重点关注可被利用的内容并涵盖所有组件(服务器、自定义代码、开源、服务),提供全面的应用程序安全视图。
  • 可集成到开发、质量保证和生产中,提供持续的整体视图。
  • 动态分析可采用更广泛的方法来管理组合风险(1000 个应用程序),并可扫描遗留应用程序,作为风险管理的一部分。
  • 测试功能应用程序,因此与SAST 不同,不受语言限制,可以发现运行时和环境相关的问题。

什么是 SCA?

软件组件分析(SCA)是一种自动化流程,可帮助识别和跟踪应用程序中使用的开源组件。更强大的 SCA 工具可以分析所有开源组件的安全风险、许可证合规性和代码质量。

软件构成分析的好处:

    • 获得组织内开源组件的可见性和了解程度(提供软件物料清单)。
    • 防止安全和许可证问题的政策自动化。
    • 漏洞修复建议和许可证风险建议。
    • 分析开源项目的健康状况,以消除因社区不健全或衰败而造成的风险。

内部部署与软件即服务(SaaS)与托管服务

应用程序安全解决方案包括网络安全软件(工具)和运行程序的实践,以确保应用程序的安全。

企业内部

应用程序安全测试解决方案可在内部运行,由内部团队操作和维护。这种方法要求企业提供基础设施和人员,并为其使用购置应用程序安全解决方案。内部部署可确保组织不与第三方共享其应用程序数据,也不会离开组织。

SaaS

作为 SaaS 产品的应用程序安全提供基于云的解决方案,具有基于 Web 的用户界面,允许客户配置、执行和管理应用程序安全。这种方案仍然要求企业提供运行各种应用安全测试工具所需的人员和专业知识,但无需提供基础设施、维护和更新等。

托管服务

应用程序安全也可以是一种托管服务,客户可以使用应用程序安全提供商作为交钥匙解决方案提供的服务。这种方法不需要内部部署方法的任何先决条件,但需要部分或完全依赖 SaaS 供应商,而且在大多数情况下,允许与供应商共享应用程序数据。应用安全托管服务提供了一种简便的入门方式,并能提供可扩展性和速度。混合实施(在不同的项目和实践中同时使用内部部署、SaaS 和托管服务)旨在通过提供灵活性、可扩展性和成本优化,实现两全其美。

什么是 OWASP Top 10?

OWASP 10 强

开放网络应用安全项目(OWASP)是一个开源应用安全社区,其目标是提高软件的安全性。其行业标准 OWASP Top 10 准则提供了一份最关键的应用程序安全风险清单,以帮助开发人员更好地保护其设计和部署的应用程序的安全。

应用安全解决方案

OpenText 应用安全解决方案提供内部、托管和即服务形式的应用安全测试和管理,帮助企业确保其软件应用程序(包括传统、移动、第三方和开源应用程序)的安全。

Fortify 产品包括静态代码分析动态应用程序安全测试软件组成分析 (SCA) 和交互式应用程序安全测试工具,为您的 Web应用程序应用程序接口移动应用程序基础设施即代码容器软件供应链提供代码安全。

解决方案包括

OpenText™ Fortify™ 静态代码分析器- 静态应用程序安全测试 (SAST) - 在软件开发生命周期的早期阶段识别并指出源代码中的安全漏洞。

OpenText™ Fortify™ WebInspect- 动态应用程序安全测试 (DAST) - 对运行中的应用程序模拟真实世界的安全攻击,对复杂的网络应用程序和服务进行全面分析。

OpenText™ Fortify™ 按需提供--安全即服务--一种简单、方便、快捷的方法,无需安装或管理软件,也无需增加额外资源,即可准确测试应用程序。

移动安全-移动测试方法,可测试包括客户端、网络和服务器在内的所有三个层级。

OpenText™ 网络安全云是一个集中式管理库,可提供整个应用程序安全测试计划的可见性。它可对安全测试活动进行优先排序、管理和跟踪,并提供整个企业软件安全风险的准确信息。

应用安全

立即开始

了解更多

相关产品

OpenText™ Fortify™ 静态代码分析器

以业内最准确的结果及早发现并修复安全问题

OpenText™ Fortify™ WebInspect

识别已部署Web应用程序和服务中的漏洞

OpenText™ Fortify™ On Demand

解锁安全测试、漏洞管理以及量身定制的专业知识和支持

OpenText™ Cybersecurity Cloud

更智能、更简单的保护

查看所有相关产品

我们能提供什么帮助?

脚注