什么是应用程序安全?
应用程序安全描述了应用程序级别的安全措施,目的是防止应用程序中的数据或代码被窃取或劫持。应用程序安全是通过查找、修复和增强应用程序的安全性来确保应用程序高度安全的过程。它包含了对应用程序开发和设计阶段可能出现的安全因素的考量,也涉及到在应用程序部署后保护应用程序所使用的系统和方法。
为什么需要应用程序安全?
应用程序安全在互联网高度发展的当下是显得极为重要,因为就目前的发展趋势来看,几乎所有的应用程序都是在联网的情况下被大量用户广泛使用。随着云服务的崛起,很多企业已将自己的应用程序部署到了云端,这无疑增加了应用程序的安全威胁和漏洞安全性。应用程序安全旨在保护应用程序的整个生命周期免受黑客的攻击或其他网络威胁,它既保护了企业数据、知识产权和敏感信息不被非法盗取,又确保了用户个人隐私及重要信息的安全性。 应用程序安全的作用:有利于企业保护员工、客户及合作伙伴所使用的各种应用程序的安全性。
如何选择应用程序安全测试解决方案?如何做好软件安全测试?
安全测试技术是一门监测应用程序漏洞或安全漏洞的技术。这些漏洞使得应用程序很容易被黑客利用。理想情况下,安全测试要应用于整个软件开发生命周期(SDLC)中,以便这些漏洞能够被及时、合理地处理掉。不幸的是,有些测试仍是在开发周期结束后才进行的。随着持续交付和开发运营作为主要的软件开发和配置模式的不断增长,持续安全模式也变得越来越流行。
漏洞扫描仪、尤其是网络应用程序扫描仪,也被称作渗透测试工具(或正义入侵工具)历来都被公司内部的安全组织和安全顾问用于自动测试http请求/响应的安全性;然而,这并不能取代实际的源代码审查需求。应用程序源代码的物理代码审查可以手动完成,也可以采用自动化技术来完成。单个应用程序的常规容量大约是500,000行或更多行代码,人类大脑是无法对其执行全面数据流分析的,这需要全方位检查应用程序所有迂回路径查找漏洞。人类大脑更适合于筛选、中断和报告商用自动化源代码分析工具输出的数据,而不是通过编译代码库试图追踪每一条可能的路径来发现漏洞级别的根源。
很多自动化工具可以识别应用程序中的漏洞。有些需要运用大量的安全专业知识,而另一些则是为全自动化应用设计的。采用人工测试还是自动化测试取决于输入分析工具的信息类型(源、二进制、网站流量、配置、函数库、连接)、分析质量以及所覆盖的漏洞范围。用于识别应用程序漏洞的常见技术包括:
什么是SAST和DAST?
什么是SAST?
- 静态应用程序安全性测试(SAST)是一种常用的源代码分析工具技术。该方法在应用程序发行之前用来分析安全漏洞的源代码,它也被用来增强代码。这种方法产生的误报(一个防病毒软件把没有感染病毒的文件报告为感染了病毒)很少,但应用程序大多数的安装启用需要访问它的源代码,还需要专业人士设置配置和强大的(计算机)处理能力。
什么是DAST?
- 动态应用程序安全测试(Dynamic Application Security Testing, DAST)是一种输入URL(网址)到自动扫描仪来发现可见漏洞的技术。该方法有很强的伸缩性、集成方便且运行快。DAST的缺点在于需要专家配置且误报和漏报的可能性大。
什么是IAST?
- 交互式应用程序安全性测试(IAST)是一种使用软件工具从内部评估应用程序的解决方案。这种技术允许IAST结合SAST和DAST这两种技术的优势,同时还提供对代码、网站流量、函数库信息、后端连接和配置信息等的访问。某些IAST产品要求应用程序受到攻击,而另一些IAST产品在标准质量控制测试中还可以被使用。
