OpenText 首頁。
技術主題

什麼是應用程式安全?

以問號為重點的 IT 項目說明

概述

應用程式安全是一門程序、工具和實務的學科,目的在於保護應用程式在整個應用程式生命週期中不受威脅。網路罪犯是有組織、專業且有動機的,他們會找出並利用企業應用程式中的漏洞來竊取資料、智慧財產和敏感資訊。應用程式安全性可協助組織保護內部和外部利害關係人 (包括客戶、業務夥伴和員工) 所使用的各種應用程式 (例如傳統、桌上型電腦、Web、行動裝置、微型服務)。

應用程式安全性

為何需要應用程式安全性?

多項研究證實,大部分成功的入侵事件都是針對應用程式層中的漏洞,這顯示企業 IT 部門必須對應用程式安全提高警覺。為了讓問題更複雜,應用程式的數量和複雜性也在不斷增加。十年前,軟體安全性的挑戰在於保護桌面應用程式和靜態網站,這些應用程式和網站相當無害,而且很容易納入保護範圍。現在,考慮到外包開發、舊應用程式的數量,再加上利用第三方、開放原始碼和商用現成軟體元件的內部開發,軟體供應鏈變得更加複雜。

組織需要涵蓋所有應用程式的應用程式安全解決方案,從內部使用的應用程式到客戶行動電話上使用的熱門外部應用程式。這些解決方案必須涵蓋整個開發階段,並在應用程式投入使用後提供測試,以監控潛在問題。應用程式安全解決方案必須能夠測試 Web 應用程式的潛在與可利用漏洞、具備分析程式碼的能力、透過協調各項工作並促成各利害關係人之間的合作,協助管理安全與開發管理流程。解決方案也必須提供易於使用和部署的應用程式安全測試。


什麼是 SAST、DAST 和 SCA?

什麼是 SAST?

靜態應用程式安全測試(SAST) 掃描應用程式原始檔案,準確找出根本原因,並協助修復潛在的安全漏洞。

靜態應用程式安全測試的優點

  • 找出並消除原始碼、二進位碼或位元組代碼中的漏洞。
  • 即時檢閱靜態分析掃描結果,並可存取建議、代碼行導航以更快找到弱點,以及協同稽核。
  • 與整合開發環境 (IDE) 完全整合。

什麼是 DAST?

動態應用程式安全測試(DAST)模擬針對執行中 Web 應用程式或服務的受控攻擊,以辨識執行環境中可利用的漏洞。

動態應用程式安全測試的優點:

  • 提供應用程式安全性的全面觀點,著重於可被利用的部分,並涵蓋所有元件 (伺服器、自訂程式碼、開放原始碼、服務)。
  • 可整合至開發部門、品保部門和生產部門,以提供連續性的整體檢視。
  • 動態分析能以更廣泛的方式管理組合風險 (數以千計的應用程式),並可掃描傳統應用程式作為風險管理的一部分。
  • 測試功能性應用程式,因此與 SAST 不同,不受語言限制,可發現執行時與環境相關的問題。

什麼是 SCA?

軟體組成分析(SCA)是一種自動化程序,可協助識別和追蹤應用程式中使用的開放原始碼元件。更強大的 SCA 工具可以分析所有開放原始碼元件的安全性風險、授權合規性以及程式碼品質。

軟體組成分析的優點:

    • 取得組織內開放原始碼元件的能見度與瞭解 (提供軟體物料清單)。
    • 防止安全性和授權問題的政策自動化。
    • 針對弱點的補救建議和授權風險建議。
    • 分析開放原始碼專案的健康狀況,以消除因社群不佳或衰退所造成的風險。

內部部署 vs. SaaS vs. 管理式服務

應用程式安全解決方案包括網路安全軟體 (工具) 以及執行程序以確保應用程式安全的實務。

現場安裝

應用程式安全測試解決方案可在內部執行,由內部團隊操作與維護。此方法需要組織提供基礎架構和人員,並購買應用程式安全解決方案以供使用。On-premise 可確保組織不會與第三方共用應用程式資料,也不會離開組織。

SaaS

應用程式安全作為 SaaS 產品,提供具有網頁式使用者介面的雲端解決方案,讓客戶可以設定、執行及管理應用程式安全。此方案仍需要組織提供執行各種應用程式安全測試工具所需的人員和專業知識,但無需提供基礎架構、維護、更新等。

管理服務

應用程式安全也可以是一種管理服務,客戶使用應用程式安全供應商提供的統包解決方案服務。這種方法不需要任何內部部署方法的先決條件,但需要部分或完全依賴 SaaS 供應商,而且在大多數情況下,允許與供應商共享應用程式資料。應用程式安全作為一種管理服務,提供了一種簡單的入門方式,並能提供可擴充性及速度。混合實作 (在不同的專案與實務中同時使用內部部署、SaaS 與管理服務) 旨在透過提供彈性、可擴充性與成本最佳化,提供兩者的最佳效能。


什麼是 OWASP Top 10?

OWASP TOP 10

開放式網路應用程式安全專案(OWASP)是一個開源應用程式安全社群,旨在提升軟體的安全性。其符合業界標準的 OWASP Top 10 指南列出了最關鍵的應用程式安全風險,以協助開發人員更妥善地保障其設計與部署的應用程式安全。

應用程式安全解決方案

OpenText 應用程式安全解決方案解決方案提供應用程式安全測試與管理 (預置、託管與即服務),以協助企業保護其軟體應用程式 (包括傳統、行動、第三方與開放原始碼應用程式)。

Fortify 產品包括靜態程式碼分析動態應用程式安全測試軟體組合分析 (SCA) 以及互動式應用程式安全測試工具,為您的 Web Apps、APIMobile AppsInfrastructure-as-CodeContainers 以及軟體供應鏈提供程式碼安全。

解決方案包括

OpenText™ Fortify™ SAST- 靜態應用程式安全測試 (SAST) - 在軟體開發生命週期的早期階段,識別並精準定位原始碼中的安全漏洞。

OpenText™ Fortify™ DAST- 動態應用程式安全測試 (DAST) – 透過模擬針對運行中應用程式的實際安全攻擊,對複雜的網頁應用程式與服務進行全面分析。

OpenText™ Fortify™ on Demand– 安全即服務(Security as a Service)—— 一種簡單、便捷且快速的解決方案,可精確測試應用程式,無需安裝或管理軟體,亦無需額外配置資源。

行動安全 - 行動 測試方法,可測試所有三層,包括用戶端、網路和伺服器。

OpenText™ Cybersecurity cloud- 是一個集中化的管理儲存庫,提供整個應用程式安全測試計畫的可見性。它可排定、管理及追蹤安全測試活動的優先順序,並提供整個企業軟體安全風險的精確畫面。

應用程式安全

立即開始。

聯絡我們

我們能如何幫助您?

註腳