应用程序安全是过程、工具和实践的准则,旨在保护应用程序在整个应用程序生命周期中免受威胁。网络犯罪分子组织性强、专业化、动机强烈,善于发现和利用企业应用程序中的漏洞来窃取数据、知识产权和敏感信息。应用程序安全可以帮助组织保护内部和外部利益相关者(包括客户、业务合作伙伴和员工)使用的各种应用程序(如遗留、桌面、Web、移动、微服务)。
经过多项研究验证,大多数得逞的攻击都是瞄准应用程序层中存在的可利用漏洞,这表明企业 IT 部门需要对应用程序安全保持更高的警惕。应用程序的数量和复杂性不断增长,让该问题变得更加复杂。十年前,软件安全挑战在于保护桌面应用程序和静态网站,这些网站是相当无害且易于划定范围和保护的。现在,考虑到外包开发、遗留应用程序的数量以及利用第三方、开源和商业、现成的软件组件的内部开发,软件供应链变得更加复杂。
组织需要涵盖其所有应用程序的应用程序安全解决方案,其中包括内部使用的应用程序和客户手机上使用的热门外部应用程序。这些解决方案必须涵盖整个开发阶段,并在应用程序投入使用之后进行测试以监控潜在问题。应用程序安全解决方案必须能够测试 Web 应用程序是否存在可被利用的潜在漏洞,能够分析代码,通过协调工作和促成各利益相关者方之间的协作来帮助管理安全和开发管理流程。解决方案还必须提供易于使用和部署的应用程序安全测试。
应用程序安全解决方案包括网络安全软件(工具)和运行进程以保护应用程序安全的实践。
内部部署
应用程序安全测试解决方案可以在内部运行,由内部团队运营和维护。 这种方法要求组织提供基础设施和人员,并获取应用程序安全解决方案以供使用。内部部署可确保组织不会与第三方共享其应用程序数据,也不会离开内部环境。
SaaS
作为 SaaS 产品的应用程序安全,提供基于云的解决方案和基于 Web 的用户界面,允许客户配置、执行和管理应用程序安全。此选项仍然需要组织提供运行各种应用程序安全测试工具所需的人员和专业知识,但无需提供基础设施、维护、更新等。
托管服务
应用程序安全也可以是一项托管服务,客户可以在其中使用由应用程序安全提供商作为统包解决方案提供的服务。 这种方法不需要内部部署方法的任何先决条件,但确实需要部分或完全依赖 SaaS 供应商,并且在大多数情况下,允许与供应商共享应用程序数据。应用程序安全作为托管服务提供了一种简单的入门方法,并且可以提供可扩展性和速度。混合实施(在不同的项目和实践中结合使用内部部署、SaaS 和托管服务)旨在通过提供灵活性、可扩展性和成本优化,实现两全其美。
开放式 Web 应用程序安全计划 (OWASP) 是开源应用程序安全社区,其目标是改进软件的安全。它的行业标准“OWASP 发布的十大安全漏洞”准则列出了最关键的应用程序安全风险,可帮助开发人员更好地保护他们设计和部署的应用程序。
OpenText 应用程序安全解决方案以内部部署、托管和服务方式提供应用程序安全测试和管理,以帮助公司保护其软件应用程序,包括遗留、移动、第三方和开源应用程序。
Fortify 产品包括静态代码分析、动态应用程序安全测试、Software Composition Analysis (SCA) 以及交互式应用程序安全测试工具,可为您的 Web 应用程序、API、移动应用程序、基础设施即代码、容器和软件供应链提供代码安全保障。
这些解决方案包括:
Fortify Static Code Analyzer - 静态应用程序安全测试 (SAST) - 在软件开发生命周期的早期阶段就识别并查明源代码中的安全漏洞。
Fortify WebInspect - 动态应用程序安全测试 (DAST) - 模拟对运行中应用程序发起的真实安全攻击,以提供对复杂 Web 应用程序和服务的全面分析。
交互式应用程序安全测试 (IAST) - 集成我们的动态测试和运行时分析,通过扩大攻击面覆盖范围并相较于仅使用动态测试更好地暴露漏洞,以识别更多漏洞。
Fortify on Demand - 安全即服务 - 此方法可简单、轻松且快速而准确地测试应用程序,无需安装或管理软件,或增加额外的资源。
移动安全 - 测试包括客户端、网络和服务器在内的全部三个层次的移动测试方法。
Fortify Insight - 聚合和分析以前孤立数据的众多来源,在企业仪表板中直观呈现,以获得切实可行的见解。
软件安全保证 - 集中式管理存储库提供有助于解决安全漏洞所需的可见性。
Fortify Software Security Center - 提供整个应用程序安全测试计划可视性的集中式管理存储库。它会优先考虑、管理和追踪安全测试活动,以便您准确地了解整个企业的软件安全风险状况。
视频 - AppSec 101 - YouTube 视频系列,介绍应用程序安全的基础知识。
白皮书 - 打造值得信赖的软件供应链
网络研讨会视频 - 代码安全网络研讨会系列
报告 - Gartner® 应用程序安全测试魔力象限™
使用案例 - DevSecOps、保护软件供应链、云转型、大规模的成熟度
OWASP 十大最关键的 Web 应用程序安全风险
报告 - AppSec 趋势报告
