您當(dāng)前的位置是:  首頁 > 資訊 > 國際 >
 首頁 > 資訊 > 國際 >

新思科技助力SFR電信公司在SDLC早期消除漏洞隱患

2020-09-08 08:30:04   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:

  美國新思科技公司發(fā)布的Seeker是一套交互式應(yīng)用安全測(cè)試(IAST)解決方案,其最新版本經(jīng)過重新設(shè)計(jì),現(xiàn)可支持DevSecOps及持續(xù)交付安全的Web應(yīng)用程序。Seeker在生產(chǎn)前測(cè)試周期無縫集成到CI/CD流程并監(jiān)控Web應(yīng)用程序。憑借專利技術(shù),Seeker是能夠檢測(cè)并自動(dòng)驗(yàn)證是否有可被利用漏洞的應(yīng)用安全解決方案,為開發(fā)人員提供實(shí)時(shí)準(zhǔn)確、可操作的信息。
  法國電信運(yùn)營商SFR (Société fran?aise du radiotelephone)通過部署Seeker交互式應(yīng)用安全測(cè)試解決方案,可以在軟件開發(fā)生命周期(SDLC)早期識(shí)別并修復(fù)漏洞,同時(shí)促進(jìn)了開發(fā)和安全團(tuán)隊(duì)之間的協(xié)作。
  企業(yè)概覽
  Altice Europe是一家跨國電信集團(tuán),在法國電信與媒體融合領(lǐng)域有著舉足輕重的地位,通過其旗下的電信運(yùn)營商SFR (Société fran?aise du radiotelephone)為2,300多萬客戶服務(wù),為消費(fèi)者和企業(yè)提供語音、視頻、數(shù)據(jù)、互聯(lián)網(wǎng)電信及相關(guān)專業(yè)服務(wù)。
  挑戰(zhàn):在軟件開發(fā)生命周期中段才置入安全
  SFR公司B2C業(yè)務(wù)的 IT部門服務(wù)超過2,300萬客戶,每年部署數(shù)十個(gè)大型項(xiàng)目,包括Web、前端和辦公應(yīng)用程序。該部門希望提升網(wǎng)絡(luò)安全策略,通過增加動(dòng)態(tài)掃描程序完善其安全工具,進(jìn)行動(dòng)態(tài)安全管理(在代碼執(zhí)行和幾個(gè)應(yīng)用程序之間或前后端之間對(duì)話的框架內(nèi)),以實(shí)現(xiàn)在軟件開發(fā)生命周期(SDLC)早期就能確保代碼安全。
  具體而言,SFR希望解決方案可以:
  • 使開發(fā)人員能夠參與并了解最新的網(wǎng)絡(luò)安全問題
  • 減少軟件開發(fā)項(xiàng)目在生產(chǎn)階段的漏洞數(shù)量
  • 減少對(duì)客戶的潛在影響以及降低法律機(jī)構(gòu)對(duì)其進(jìn)行經(jīng)濟(jì)處罰的風(fēng)險(xiǎn)
  • 使開發(fā)人員或者測(cè)試人員能在SDLC早期就能修復(fù)漏洞
  • 作為CI / CD工作流程的一部分,啟用自動(dòng)安全測(cè)試和即時(shí)漏洞檢測(cè)
  • 獲取上下文信息,便捷、實(shí)時(shí)地重現(xiàn)和修復(fù)漏洞
  • 即時(shí)獲得檢測(cè)結(jié)果以進(jìn)行快速修復(fù)
  • 比靜態(tài)應(yīng)用安全測(cè)試工具的結(jié)果更加精確
  • 提升跨職能協(xié)作
  SFR驗(yàn)證與安全總監(jiān)Robert Cohen介紹道:"SFR選擇了新思科技Seeker交互式應(yīng)用安全測(cè)試解決方案,幫助防止Web應(yīng)用程序的代碼漏洞,并獲得實(shí)時(shí)結(jié)果以進(jìn)行快速修復(fù)。"
  解決方案:部署企業(yè)級(jí)交互式應(yīng)用安全測(cè)試,在SDLC早期識(shí)別漏洞
  新思科技的Seeker 交互式應(yīng)用安全測(cè)試解決方案旨在幫助發(fā)現(xiàn)高風(fēng)險(xiǎn)的安全漏洞,同時(shí)促進(jìn)開發(fā)和安全團(tuán)隊(duì)之間的協(xié)作。
  Seeker 交互式應(yīng)用安全測(cè)試可以檢測(cè)到Web應(yīng)用程序漏洞,并將其直接與業(yè)務(wù)影響聯(lián)系在一起,從而清楚地說明風(fēng)險(xiǎn)。 Seeker無縫集成到CI / CD工作流程中,可自動(dòng)進(jìn)行應(yīng)用程序安全性測(cè)試,而不會(huì)減慢發(fā)布周期。
  Seeker交互式應(yīng)用安全測(cè)試通過使開發(fā)人員能夠在SDLC早期修復(fù)關(guān)鍵的安全漏洞,節(jié)約了寶貴的時(shí)間、資源和成本。 而且,Seeker通過在應(yīng)用程序投入生產(chǎn)之前對(duì)其進(jìn)行保護(hù)來降低風(fēng)險(xiǎn)。
  通過實(shí)時(shí)自動(dòng)驗(yàn)證檢測(cè)結(jié)果,Seeker交互式應(yīng)用安全測(cè)試有助于減少其它應(yīng)用程序安全測(cè)試工具中常見的誤報(bào),從而可以輕松地對(duì)重要的關(guān)鍵漏洞進(jìn)行分類和優(yōu)先級(jí)劃分。
  Seeker交互式應(yīng)用安全測(cè)試還為開發(fā)人員提供了代碼中漏洞的確切位置,修復(fù)建議以及代碼執(zhí)行流程,以幫助他們快速修復(fù)漏洞。
  成效:將開發(fā)人員置于安全測(cè)試的核心
  SFR正在部署Seeker交互式應(yīng)用安全測(cè)試,之后會(huì)每天將其用于每次代碼審查。SFR公司B2C業(yè)務(wù)的 IT部門目前每天大約測(cè)試十幾個(gè)本地應(yīng)用程序,這個(gè)數(shù)量將增加到幾十個(gè)。全面部署Seeker交互式應(yīng)用安全測(cè)試解決方案后,誤報(bào)率會(huì)降低,并且生產(chǎn)率會(huì)大幅提高。
  即使是在部署初期,SFR已經(jīng)看到了裨益:
  • 相比靜態(tài)應(yīng)用安全測(cè)試等其它工具,Seeker交互式應(yīng)用安全測(cè)試的檢測(cè)能力更勝一籌
  • 開發(fā)人員回歸到處理安全挑戰(zhàn)的核心位置,在交付產(chǎn)品的同時(shí)保持安全規(guī)范一致性。
  SFR公司B2C業(yè)務(wù) IT部門網(wǎng)絡(luò)安全高級(jí)經(jīng)理Zine-Eddine Yahoui指出他最贊賞Seeker交互式應(yīng)用安全測(cè)試的三個(gè)優(yōu)點(diǎn):在執(zhí)行代碼期間識(shí)別漏洞的能力;內(nèi)容翔實(shí)的報(bào)告;識(shí)別代碼行以簡化開發(fā)團(tuán)隊(duì)修復(fù)漏洞過程的能力。
 
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題

CTI論壇會(huì)員企業(yè)