應用程式安全是指制定程序、工具和實務的原則,以在整個應用程式生命週期內保護應用程式避免威脅。 網路犯罪分子有組織且專業,會主動找出並利用企業應用程式中的漏洞來竊取資料、智慧財產以及機密資訊。應用程式安全有助於組織保護內部和外部利益相關者(包括客戶、企業合作夥伴與員工)所使用的各種應用程式,例如傳統、桌面、網路、行動、微服務等類型。
經過多項研究證實,大多數成功的攻擊行為都是鎖定應用層中可利用的安全漏洞,這顯示企業 IT 部門需要更進一步對應用程式的安全保持警戒。 隨著應用程式數量增加且複雜程度不斷攀升,這問題也變得更加嚴峻。 十年前,軟體安全面臨的挑戰在於保護桌面應用程式和靜態網站,這些項目通常簡單無害,且能輕鬆確定範圍並予以保護。 現在,組織要考量到外包開發、傳統應用程式數量,以及利用第三方、開放原始碼與商規元件進行的內部開發等要素,這讓軟體供應鏈變得更為複雜。
組織需要的應用程式安全解決方案應能涵蓋所有應用程式,從組織內部使用的項目到客戶手機上的熱門外部應用程式,都能獲得保障。 這些解決方案必須涵蓋整個開發階段,並在應用程式投入使用後進行測試,以監控潛在的問題。 應用程式安全解決方案必須能夠測試網路應用程式是否存在可能被利用的漏洞、能夠分析程式碼、透過協調工作和促進各利益相關者之間的合作來幫助管理安全和開發管理流程。 這些解決方案還必須提供容易使用及部署的應用程式安全測試。
靜態應用程式安全測試 (SAST) 可掃描應用程式的原始程式檔,精準地找出安全問題的根本原因,並幫助修復其中暗藏的安全漏洞。
靜態應用程式安全性測試為開發人員帶來的優勢包括:
動態應用程式安全測試 (DAST) 會以可控管的方式對執行中的網路應用程式或服務模擬攻擊,找出執行中環境內可利用的弱點。
動態應用程式安全測試的優勢包括:
應用程式安全解決方案包含網路安全性軟體(工具),以及可執行相關程序來保護應用程式的實務。
應用程式安全測試解決方案提供內部部署(內部作業)執行模式,可由組織內部的團隊進行維運工作。 這種執行方式需要組織提供基礎架構和作業人員,並購買應用程式安全解決方案以供使用。 內部部署進而能確保第三方無法共享組織的應用程式資料,而組織也不必離開內部環境進行操作。
應用程式安全解決方案也可能是 SaaS 產品(或以應用程式安全為服務),在這類應用中,應用程式安全供應商能夠以服務方式為客戶提供面面俱到的解決方案。 採用這種方式時,組織不用滿足內部部署方式的必要條件,但需要一定程度或完全依賴 SaaS 供應商。在大多數的情況下,組織也必須允許供應商共享應用程式資料。 SaaS 可協助組織輕鬆開始建立應用程式安全性,並滿足所需彈性與速度。混合式實作(在不同專案和實務中結合使用內部部署及 SaaS)能夠同時針對兩種執行方式提供靈活性、延展性並盡可能降低成本,讓客戶享有兩全其美的解決方案。
如今,每個業務層面都離不開軟體。 網路和行動應用程式的數量也因此大幅增長,而應用程式發行的頻率越趨頻繁。 許多組織往往會犧牲偵測重要漏洞所需的準確性,選擇執行範圍較小的安全性掃描以滿足業務需求。 安全解決方案應具備敏捷度,足以讓組織進行全面且精準的安全掃描,同時又能避免可能造成修復失敗的相關誤報結果。
開放網路應用程式安全專案 (OWASP) 是一個致力於提高應用程式安全的開放社群,其主要目標是研議協助改善軟體的安全。 OWASP 前十大資安弱點 (OWASP Top 10) 產業標準指南會列出最重要的應用程式安全風險,以幫助開發人員設計和部署的應用程式獲得更好的保障。 OWASP 前十大資安弱點開發人員指南會概述前十大安全風險,並針對每項風險提供實用技巧。
Micro Focus 應用程式安全解決方案提供內部部署,和以服務方式執行的應用程式安全測試與管理,可以幫助公司保護其軟體應用程式,包括傳統、行動、第三方和開放原始碼應用程式。
Micro Focus Fortify產品包括靜態、動態和互動式的應用程式安全測試、執行階段應用程式自我保護功能,以及支援軟體安全保障計劃的服務,這些流程可確保您經營業務的應用程式受到保護而安全無虞。
解決方案包括:
Fortify Static Code Analyzer—靜態應用程式安全測試 (SAST),在軟體開發生命週期的早期找出並確認開放原始碼中的安全漏洞。
Fortify WebInspect—動態應用程式安全測試 (DAST) 可針對執行中的應用程式模擬實際安全攻擊,以全面分析複雜的網路應用程式和服務。
互動式應用程式安全性分析 (IAST)——整合動態測試與執行階段分析功能,可擴大攻擊面的覆蓋範圍並揭露漏洞,能比個別動態測試找出更多弱點。
Fortify Application Defender—執行階段應用程式自我保護 (RASP) 功能會主動監控並保護生產環境中含有已知與不明漏洞的應用程式。
Fortify on Demand—安全即服務—是一種簡單、輕鬆、快速的方法,無需安裝或管理軟體或新增其他資源即可準確測試應用程式。
行動安全性——可以測試所有三個層面(用戶端、網路和伺服器)的行動測試方法。
Software Security Assurance—集中管理儲存機制可讓使用者掌握現況,有助於解決安全漏洞。
Fortify Software Security Center—集中管理儲存機制可讓使用者掌握整個應用程式安全測試程式的情況, 它會排定優先順序、管理和追蹤安全測試活動,並能準確反映整個企業軟體的安全風險。
白皮書-2019 年 TechBeacon 應用程式安全客戶指南
白皮書-無縫的應用程式安全:以 DevOps 的速度維持安全
網路研討會-創新思維測試:3 個步驟讓開發人員加入保衛安全的行列
白皮書-應用程式安全風險報告
網路研討會-在軟體生命週期中融合安全:自動化與整合
白皮書-企業應用程式安全狀況