法國Parkeon公司托管企業(yè)服務部首席信息安全官曾經(jīng)表示:“我們選擇Seeker是因為測試人員和開發(fā)人員不需要投入很多時間或者具備十分專業(yè)的知識就可以定期執(zhí)行安全測試任務。Seeker提供漏洞與受影響源代碼之間的關聯(lián),,從而減少開發(fā)人員的工作量,?!?/p>
近日,,美國新思科技公司(Synopsys, Nasdaq: SNPS)的這套交互式應用安全測試(IAST)解決方案推出了新版本。
Seeker最新版本經(jīng)過重新設計,,以支持DevSecOps及持續(xù)交付安全的Web應用程序,。Seeker在生產(chǎn)前測試周期無縫集成到CI/CD流程并監(jiān)控Web應用程序,。憑借專利技術,Seeker是目前唯一能夠檢測并自動驗證是否有可被利用漏洞的應用安全解決方案,,為開發(fā)人員提供實時準確、可操作的信息,。
權威獨立調(diào)研機構Forrester Research首席分析師 Amy DeMartine表示:“有34%的開發(fā)人員表示他們每天要進行多次編譯或簽入操作,應用程序安全測試必須在相同的時間范圍內(nèi)運行,,否則可能會使開發(fā)機器停止運轉。對于試圖以開發(fā)速度測試安全性的企業(yè)來說,,動態(tài)應用安全測試(DAST)一直是一個負擔?!?
Seeker獨特的方式在緊密的“反饋回路”中持續(xù)降低應用安全風險,,補充在開發(fā)周期后期進行的DAST掃描和滲透測試。DAST掃描和滲透測試通常都需要專門的帶外數(shù)據(jù)測試以及手動驗證和分類結果,。為解決軟件依賴風險,Seeker集成了Black Duck Binary Analysis分析工具(此前稱為Protecode SC),,可自動檢測開源組件中的已知漏洞和許可證沖突,。Seeker也是目前唯一提供敏感數(shù)據(jù)跟蹤的IAST解決方案,有助于達到行業(yè)標準及符合法規(guī),,包括支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)和《通用數(shù)據(jù)保護條例》(GDPR)等,。Seeker開箱即用,,易于部署,支持大規(guī)模、基于云和微服務的應用程序架構,。
新思科技軟件質(zhì)量與安全部門總經(jīng)理Andreas Kuehlmann 表示:“Seeker專為采用DevOps的企業(yè)而設計,并利用自動化為客戶持續(xù)改進軟件,。由于其持續(xù)監(jiān)控,無與倫比的準確性和有針對性的修復指導,,Seeker刪除了安全測試的手動元素,使開發(fā)人員能夠掌控應用風險,。”
Seeker 2018.07的主要功能包括:
▲ 主動漏洞驗證,,精準度高,。 Seekers提供自動、主動驗證以確認檢測到的漏洞是否可被利用,,是目前唯一具備這項功能的IAST解決方案,。此驗證是通過獲得專利的技術實現(xiàn)的,。該技術使用受污染的參數(shù)重放原始HTTP(S)請求,,并監(jiān)視生成的應用程序數(shù)據(jù)流,。結果是誤報率接近于零,,顯著低于其它IAST和DAST解決方案,,并降低了人工驗證的成本,。
▲ 敏感數(shù)據(jù)跟蹤:Seeker是目前唯一一種允許安全團隊識別和跟蹤敏感數(shù)據(jù)(如信用卡號,,用戶名和密碼)的IAST工具,,以確保安全處理并且不存儲在安全性低或者沒有加密的日志文件或數(shù)據(jù)庫中,。敏感數(shù)據(jù)跟蹤可幫助企業(yè)遵守數(shù)據(jù)安全法規(guī),,包括PCI DSS,、HIPAA和GDPR,。
▲ CI/CD集成和靈活部署:Seeker幾乎可以部署在任何類型的自動或手動測試環(huán)境中,,只需要非常少的配置,。Seeker可以通過本機插件和易于使用的Web API無縫地融入CI/CD流程,,以便漏洞跟蹤,、構建和測試自動化工具,。Seeker支持標準的,、基于微服務和云的應用結構,,并可針對大型企業(yè)的需求進行擴展。