Your browser is not supported

For the best experience, use Google Chrome or Mozilla Firefox.

什麼是應用程式安全?

bg

綜覽


應用程式安全是指制定程序、工具和實務的原則,以在整個應用程式生命週期內保護應用程式避免威脅。網路犯罪分子有組織且專業,會主動找出並利用企業應用程式中的漏洞來竊取資料、智慧財產以及機密資訊。 應用程式安全 有助於組織保護內部和外部利益相關者 (包括客戶、企業合作夥伴與員工) 所使用的各種應用程式,例如傳統、桌面、網路、行動、微服務等類型。

應用程式安全性


為什麼要重視應用程式安全?

多項研究證實,大多數成功的攻擊行為都是鎖定應用層中可入侵的安全漏洞,這顯示企業 IT 部門需要更進一步對應用程式的安全保持警戒。隨著應用程式數量增加且複雜程度不斷攀升,這問題也變得更加嚴峻。十年前,軟體安全面臨的挑戰在於保護桌面應用程式和靜態網站,這通常都簡單無害,能輕鬆確定範圍並予以保護。現在,組織要考量到外包開發、傳統應用程式數量,以及利用第三方、開放原始碼與商規元件進行的內部開發等要素,這讓軟體供應鏈變得更為複雜。

組織需要的應用程式安全解決方案應能涵蓋所有應用程式,從組織內部使用的,到客戶手機上的熱門外部應用程式,都能獲得保障。這些解決方案必須涵蓋整個開發階段,並在應用程式投入使用後進行測試,以監控潛在的問題。應用程式安全解決方案必須能夠測試網路應用程式是否存在可能入侵的漏洞、能夠分析程式碼、透過協調工作和促進各利益相關者之間的合作來幫助管理安全和開發管理流程。這些解決方案還必須提供容易使用及部署的應用程式安全測試。


什麼是 SAST、DAST 與 SCA?

什麼是 SAST?

靜態應用程式安全測試  (SAST)(SAST) 可掃描應用程式的原始程式檔,精準地找出安全問題的根本原因,並幫助修復其中暗藏的安全漏洞。

 


靜態應用程式安全測試的優勢包括:

  • 辨識並排除原始碼、二進位檔或位元組碼當中的弱點。
  • 即時檢查靜態分析掃描結果並提供建議與程式碼行瀏覽,以更快找到弱點並實現協同稽核。
  • 完全整合於整合式開發人員環境 (IDE)。

什麼是 DAST?

動態應用程式安全測試  (DAST)  會以可控管的方式對執行中的網路應用程式或服務模擬攻擊,找出執行中環境內可入侵的弱點。


動態應用程式安全測試的優勢包括:

  • 聚焦於可入侵的弱點並概括測試所有元件 (如伺服器、自訂程式碼、開放原始碼、服務等),完整掌握應用程式安全性。
  • 可整合於開發、品管和生產環境當中,以持續提供全方位檢視。
  • 動態分析的產品組合風險管理覆蓋範圍更廣 (可管理數千個應用程式),且在管理風險的過程中會一併掃描傳統應用程式。
  • 可測試功能應用程式,不像 SAST 一樣會受到語言限制,還能夠發現與執行時期和環境相關的問題。

什麼是 SCA?

軟體組成分析  (SCA) 是一套自動化的程序,可協助識別並追蹤應用程式中所使用的開放原始碼元件。更強大的 SCA 工具可分析所有開放原始碼元件,以了解其資安風險、合規授權,以及程式碼品質。


軟體組成分析的優點:

  • 掌握並瞭解組織中的開放原始碼元件 (提供軟體用料表)。
  • 規則自動化,預防安全性與授權問題。
  • 弱點矯正和授權風險建議。
  • 分析開放原始碼專案的健全度,以消除因社群不良或衰退而導致的風險。

內部部署、SaaS、管理式服務三者比較

應用程式安全解決方案包含網路安全性軟體 (工具),以及可執行相關程序來保護應用程式的實務。

內部部署

應用程式安全測試 解決方案提供內部部署 (內部作業) 執行模式,可由組織內部的團隊進行維運工作。這種執行方式需要組織提供基礎架構和作業人員,並購買應用程式安全解決方案以供使用。內部部署進而能確保第三方無法共享組織的應用程式資料,而組織也不必離開內部環境進行操作。

SaaS

應用程式安全的  SaaS  產品提供雲端型的解決方案,具備 Web 式的使用者介面,讓使用者能設定、執行和管理應用程式安全。此選項仍需要企業提供人員與專業能力來執行各種應用程式安全測試,但不需要提供基礎架構、維護和更新等。

管理式服務

應用程式安全解決方案也可以是 管理式服務 ,在這種請況中,應用程式安全供應商能夠以服務方式為客戶提供統包式解決方案。採用這種方式時,組織不用滿足內部部署方式的必要條件,但需要一定程度或完全依賴 SaaS 供應商。在大多數的情況下,組織也必須允許供應商共享應用程式資料。以管理式服務提供的應用程式安全服務可協助組織輕鬆開始建立應用程式安全性,並滿足所需彈性與速度。混合式實作 (在不同專案和實務中結合使用內部部署、SaaS 及管理式服務) 能夠同時針對兩種執行方式提供靈活性、延展性並盡可能降低成本,讓客戶享有兩全其美的解決方案。


何謂 OWASP Top 10

OWASP Top 10

Open Web Application Security Project (OWASP) 是一個致力於提高應用程式安全的開放社群,其主要目標是研議協助改善軟體的安全。OWASP Top 10 產業標準指引會列出最重要的應用程式安全風險,以幫助開發人員設計和部署的應用程式獲得更好的保障。


應用程式安全解決方案

OpenText  應用程式安全解決方案 提供內部部署、 託管和以服務方式執行的應用程式安全測試與管理,可以幫助公司保護其軟體應用程式,包括傳統、行動、第三方和開放原始碼應用程式。

Fortify 產品包含 靜態程式碼分析、 動態應用程式安全性、 軟體組成分析 (SCA),以及應用程式安全測試工具,為您的  Web 應用程式、 API、 行動應用程式、 基礎架構即程式碼、 容器,以及 軟體供應鍊提供程式碼安全性。

解決方案包括:

Fortify Static Code Analyzer  –  靜態應用程式安全測試 (SAST),在軟體開發生命週期的早期找出並確認開放原始碼中的安全漏洞。

Fortify WebInspect  –  動態應用程式安全測試 (DAST),可針對執行中的應用程式模擬實際安全攻擊,以全面分析複雜的網路應用程式和服務。

互動式應用程式安全性測試  (IAST) – 整合動態測試與執行時期分析功能,可擴大攻擊面的覆蓋範圍並揭露漏洞,能比單獨使用動態測試找出更多弱點。

Fortify on Demand  – 安全即服務 - 是一種簡單、輕鬆、快速的方法,無需安裝或管理軟體或新增其他資源即可準確測試應用程式。

行動安全性  – 可以測試所有三個層面 (用戶端、網路和伺服器) 的行動測試方法。

Fortify Insight  – 聚合並分析多種過去各自孤立的資料來源,並以視覺化方式呈現於企業儀表板,提供可據以行動的深入解析。

Software Security Assurance  – 集中式管理儲存庫,可讓使用者掌握現況,有助於解決安全漏洞。

Fortify Software Security Center  - 集中式管理儲存庫,可讓使用者掌握整個應用程式安全測試程式的情況,它會排定優先順序、管理和追蹤安全測試活動,並能準確反映整個企業軟體的安全風險。

資源


我們的解決方案

應用程式安全性

馬上行動

release-rel-2023-9-2-9373 | Wed Sep 20 05:02:54 PDT 2023
9373
release/rel-2023-9-2-9373
Wed Sep 20 05:02:54 PDT 2023
AWS