應用程式安全是指制定程序、工具和實務的原則,以在整個應用程式生命週期內保護應用程式避免威脅。網路犯罪分子有組織且專業,會主動找出並利用企業應用程式中的漏洞來竊取資料、智慧財產以及機密資訊。 應用程式安全 有助於組織保護內部和外部利益相關者 (包括客戶、企業合作夥伴與員工) 所使用的各種應用程式,例如傳統、桌面、網路、行動、微服務等類型。
多項研究證實,大多數成功的攻擊行為都是鎖定應用層中可入侵的安全漏洞,這顯示企業 IT 部門需要更進一步對應用程式的安全保持警戒。隨著應用程式數量增加且複雜程度不斷攀升,這問題也變得更加嚴峻。十年前,軟體安全面臨的挑戰在於保護桌面應用程式和靜態網站,這通常都簡單無害,能輕鬆確定範圍並予以保護。現在,組織要考量到外包開發、傳統應用程式數量,以及利用第三方、開放原始碼與商規元件進行的內部開發等要素,這讓軟體供應鏈變得更為複雜。
組織需要的應用程式安全解決方案應能涵蓋所有應用程式,從組織內部使用的,到客戶手機上的熱門外部應用程式,都能獲得保障。這些解決方案必須涵蓋整個開發階段,並在應用程式投入使用後進行測試,以監控潛在的問題。應用程式安全解決方案必須能夠測試網路應用程式是否存在可能入侵的漏洞、能夠分析程式碼、透過協調工作和促進各利益相關者之間的合作來幫助管理安全和開發管理流程。這些解決方案還必須提供容易使用及部署的應用程式安全測試。
應用程式安全解決方案包含網路安全性軟體 (工具),以及可執行相關程序來保護應用程式的實務。
內部部署
應用程式安全測試 解決方案提供內部部署 (內部作業) 執行模式,可由組織內部的團隊進行維運工作。這種執行方式需要組織提供基礎架構和作業人員,並購買應用程式安全解決方案以供使用。內部部署進而能確保第三方無法共享組織的應用程式資料,而組織也不必離開內部環境進行操作。
SaaS
應用程式安全的 SaaS 產品提供雲端型的解決方案,具備 Web 式的使用者介面,讓使用者能設定、執行和管理應用程式安全。此選項仍需要企業提供人員與專業能力來執行各種應用程式安全測試,但不需要提供基礎架構、維護和更新等。
管理式服務
應用程式安全解決方案也可以是 管理式服務 ,在這種請況中,應用程式安全供應商能夠以服務方式為客戶提供統包式解決方案。採用這種方式時,組織不用滿足內部部署方式的必要條件,但需要一定程度或完全依賴 SaaS 供應商。在大多數的情況下,組織也必須允許供應商共享應用程式資料。以管理式服務提供的應用程式安全服務可協助組織輕鬆開始建立應用程式安全性,並滿足所需彈性與速度。混合式實作 (在不同專案和實務中結合使用內部部署、SaaS 及管理式服務) 能夠同時針對兩種執行方式提供靈活性、延展性並盡可能降低成本,讓客戶享有兩全其美的解決方案。
Open Web Application Security Project (OWASP) 是一個致力於提高應用程式安全的開放社群,其主要目標是研議協助改善軟體的安全。OWASP Top 10 產業標準指引會列出最重要的應用程式安全風險,以幫助開發人員設計和部署的應用程式獲得更好的保障。
OpenText 應用程式安全解決方案 提供內部部署、 託管和以服務方式執行的應用程式安全測試與管理,可以幫助公司保護其軟體應用程式,包括傳統、行動、第三方和開放原始碼應用程式。
Fortify 產品包含 靜態程式碼分析、 動態應用程式安全性、 軟體組成分析 (SCA),以及應用程式安全測試工具,為您的 Web 應用程式、 API、 行動應用程式、 基礎架構即程式碼、 容器,以及 軟體供應鍊提供程式碼安全性。
解決方案包括:
Fortify Static Code Analyzer – 靜態應用程式安全測試 (SAST),在軟體開發生命週期的早期找出並確認開放原始碼中的安全漏洞。
Fortify WebInspect – 動態應用程式安全測試 (DAST),可針對執行中的應用程式模擬實際安全攻擊,以全面分析複雜的網路應用程式和服務。
互動式應用程式安全性測試 (IAST) – 整合動態測試與執行時期分析功能,可擴大攻擊面的覆蓋範圍並揭露漏洞,能比單獨使用動態測試找出更多弱點。
Fortify on Demand – 安全即服務 - 是一種簡單、輕鬆、快速的方法,無需安裝或管理軟體或新增其他資源即可準確測試應用程式。
行動安全性 – 可以測試所有三個層面 (用戶端、網路和伺服器) 的行動測試方法。
Fortify Insight – 聚合並分析多種過去各自孤立的資料來源,並以視覺化方式呈現於企業儀表板,提供可據以行動的深入解析。
Software Security Assurance – 集中式管理儲存庫,可讓使用者掌握現況,有助於解決安全漏洞。
Fortify Software Security Center - 集中式管理儲存庫,可讓使用者掌握整個應用程式安全測試程式的情況,它會排定優先順序、管理和追蹤安全測試活動,並能準確反映整個企業軟體的安全風險。
影片 - AppSec 101 – 解釋應用程式安全基礎的 YouTube 系列。
白皮書 - 建立您能夠信任的軟體供應鏈
網路研討會影片 - 程式碼安全性網路研討會系列
報告 - Gartner® Magic Quadrant™ 應用程式安全測試
使用案例 - DevSecOps、保護軟體供應鏈、雲端轉型、大規模成熟度
OWASP Top 10 Web 應用程式安全風險
報告 - AppSec 趨勢報告