为什么选择 OpenText
为什么选择 OpenText
概述为什么选择 OpenText
OpenText 拥有数十年的专业经验,可帮助您解锁数据、连接人员和流程,并以信任为 AI 提供动力
AI 领导力
概述Aviator AI
以全新方式查看信息
OpenText™ Aviator™ AI
能够理解您的业务、数据和目标的 AI
OpenText™ MyAviator
迎接更快的决策。您安全的 AI 个人助理已准备就绪,随时开始工作
OpenText™ Business Network Aviator™
利用生成式 AI 为供应链获取更深入的见解
OpenText™ Content Aviator™
利用 AI 内容管理和智能 AI 内容助手实现高效工作
OpenText™ DevOps Aviator™
实现更快的应用交付、开发和自动化软件测试
OpenText™ Experience Aviator™
提升客户沟通和体验,助力客户成功
OpenText™ Service Management Aviator™
让用户、服务代理和 IT 人员能够找到他们所需的答案
Aviator AI
概述Aviator AI
以全新方式查看信息
OpenText™ Aviator™ AI
能够理解您的业务、数据和目标的 AI
OpenText™ MyAviator
迎接更快的决策。您安全的 AI 个人助理已准备就绪,随时开始工作
OpenText™ Business Network Aviator™
利用生成式 AI 为供应链获取更深入的见解
OpenText™ Content Aviator™
利用 AI 内容管理和智能 AI 内容助手实现高效工作
OpenText™ DevOps Aviator™
实现更快的应用交付、开发和自动化软件测试
OpenText™ Experience Aviator™
提升客户沟通和体验,助力客户成功
OpenText™ Service Management Aviator™
让用户、服务代理和 IT 人员能够找到他们所需的答案
商业网络
概述Business Network
一次连接,即可通过安全的 B2B 集成平台触达一切
DevOps
概述DevOps
通过 AI 驱动的 DevOps 自动化、测试和质量,更快地交付更优质的软件
Experience and Fax
概述Experience and Fax
利用令人难忘的客户体验重新构想对话
可观测性和服务管理
概述Observability and Service Management
获得所需的清晰度,以降低 IT 运营的成本和复杂性
API
概述APIs
利用成熟的 OpenText 信息管理技术构建自定义应用程序
可信数据与 AI
概述可信数据与 AI
安全信息管理与可信的 AI 相结合
OpenText AI Data Platform
提升数据和 AI 信任度的统一数据框架
OpenText™ Aviator™ Studio
在这里,您可以使用数据语言构建、部署和迭代代理
OpenText Discovery
一套用于帮助摄取数据和自动化元数据标记,以推动 AI 发展的工具
OpenText 数据合规
一套使治理具有主动性和持久性的服务和 API
OpenText Aviator AI 服务
专业服务专家助您踏上 AI 之旅
人工智能
概述Aviator AI
以全新方式查看信息
OpenText™ Aviator™ AI
能够理解您的业务、数据和目标的 AI
OpenText™ MyAviator
迎接更快的决策。您安全的 AI 个人助理已准备就绪,随时开始工作
OpenText™ Business Network Aviator™
利用生成式 AI 为供应链获取更深入的见解
OpenText™ Content Aviator™
利用 AI 内容管理和智能 AI 内容助手实现高效工作
OpenText™ DevOps Aviator™
实现更快的应用交付、开发和自动化软件测试
OpenText™ Experience Aviator™
提升客户沟通和体验,助力客户成功
OpenText™ Service Management Aviator™
让用户、服务代理和 IT 人员能够找到他们所需的答案
什么是动态应用程序安全测试 (DAST)?
概述
动态应用程序安全测试(DAST) 是通过前端分析网络应用程序,通过模拟攻击发现漏洞的过程。这种方法通过像恶意用户一样攻击应用程序,从 "外部 "对应用程序进行评估。DAST 扫描仪执行这些攻击后,会查找不属于预期结果集的结果,并找出安全漏洞。
动态应用安全测试 (DAST)
DAST 的优点
- 独立于应用程序
- 立即发现可被利用的漏洞
- 无需访问源代码
DAST 的缺点
- 无法找到代码中漏洞的确切位置
- 解读报告需要安全知识
- 测试耗时
IT 安全专业人士认为,应用程序开发和测试仍然是企业最具挑战性的安全流程。开发人员需要解决方案来帮助他们创建安全的代码,这就是应用安全(AppSec)工具发挥作用的地方。
AppSec 是一门流程、工具和实践的学科,旨在保护应用程序在整个应用生命周期中免受威胁。
测试应用程序安全性的方法有很多,包括
- 静态应用程序安全测试 (SAST)
- 动态应用安全测试 (DAST)
- 移动应用安全测试 (MAST)
- 交互式应用程序安全测试 (IAST)
DAST 为何重要?
DAST 的重要性在于,开发人员在构建应用程序时不必完全依赖自己的知识。通过在 SDLC 期间开展 DAST,您可以在向公众部署应用程序之前捕捉到其中的漏洞。如果不检查这些漏洞,就这样部署应用程序,可能会导致数据泄露,造成重大经济损失和品牌声誉受损。在软件开发生命周期(SDLC)的某个阶段,人为错误不可避免地会发挥作用,而在 SDLC 期间越早发现漏洞,修复成本就越低。
当 DAST 作为持续集成/持续开发(CI/CD)管道的一部分时,这被称为 "安全 DevOps "或 "DevSecOps"。
DAST 如何工作?
DAST 扫描仪会搜索正在运行的应用程序中的漏洞,如果发现允许SQL 注入、跨站脚本 (XSS) 等攻击的漏洞,就会自动发出警报。由于 DAST 工具具备在动态环境中运行的功能,因此可以检测到 SAST 工具无法识别的运行时缺陷。
以建筑物为例,DAST 扫描仪就好比一个保安员。然而,这名警卫并没有仅仅确保门窗上锁,而是更进一步,试图破门而入。警卫可能会试图撬开门锁或打破窗户。完成检查后,警卫可以向大楼经理汇报,并解释他是如何闯入大楼的。DAST 扫描仪也可以这样理解:它会主动尝试查找运行环境中的漏洞,以便 DevOps 团队知道在哪里以及如何修复这些漏洞。什么是适合开发人员使用的 DAST 工具?
OpenText™ Dynamic Application Security Testing提供自动化动态应用程序安全测试,以便您扫描和修复可被利用的网络应用程序漏洞。
通常情况下,DAST 是在生产之后进行的,因为它是在模拟对正在运行的应用程序的攻击;但如果决定 "左移 DAST"(将 DAST 移到开发过程的早期),就能更早地发现漏洞,从而节省时间和金钱。Fortify WebInspect 包括预建扫描策略,可在速度需求与组织要求之间取得平衡。
Fortify WebInspect 还包括增量扫描功能,可让您仅对应用程序中发生变化的部分快速评估漏洞。
Fortify WebInspect 允许您
- 利用自动化 DAST 确保 DevOps 安全
- 大规模管理 AppSec 风险
- 遵守主要数据安全法规
- 左移 DAST
- 抓取现代框架和应用程序接口
- 建立更强大的 AppSec 计划
SAST 和 DAST 有什么区别?
DAST 通过像恶意用户一样攻击应用程序,从 "外部 "攻击应用程序。DAST 扫描仪执行这些攻击后,会查找不属于预期结果集的结果,并找出安全漏洞。
另一方面,SAST 分析的是静态环境,即应用程序的源代码。它 "由内而外 "地检查应用程序,搜索代码中的漏洞。
为了最大限度地加强安全态势,最佳做法是同时使用 SAST 和 DAST。有了这种跨测试方法的统一分类法,您就能全面了解漏洞。
在 OpenText Fortify...
我们通过动态应用程序安全测试 (DAST) 改进您的 SDLC。Fortify WebInspect 为您提供保护和分析应用程序所需的技术和报告。根据设计,这款工具和 OpenText 的其他工具可以弥合现有技术和新兴技术之间的差距,这意味着您可以在数字化转型的竞争中,以更低的风险 更快地 创新和 交付应用程序 。
Fortify 以业界领先的安全研究为后盾,提供最全面的静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护。
Resources
相关产品
OpenText™ Dynamic Application Security Testing
持续测试实时应用,发现现实世界的漏洞
OpenText™ Core Application Security
解锁安全测试、漏洞管理以及量身定制的专业知识与支持
OpenText™ Cybersecurity Cloud
用于企业保护的集成网络安全解决方案
