法國Parkeon公司托管企業服務部首席信息安全官曾經表示:“我們選擇Seeker是因為測試人員和開發人員不需要投入很多時間或者具備十分專業的知識就可以定期執行安全測試任務。Seeker提供漏洞與受影響源代碼之間的關聯,從而減少開發人員的工作量。”
近日,美國新思科技公司(Synopsys, Nasdaq: SNPS)的這套交互式應用安全測試(IAST)解決方案推出了新版本。
Seeker最新版本經過重新設計,以支持DevSecOps及持續交付安全的Web應用程序。Seeker在生產前測試周期無縫集成到CI/CD流程并監控Web應用程序。憑借專利技術,Seeker是目前唯一能夠檢測并自動驗證是否有可被利用漏洞的應用安全解決方案,為開發人員提供實時準確、可操作的信息。
權威獨立調研機構Forrester Research首席分析師 Amy DeMartine表示:“有34%的開發人員表示他們每天要進行多次編譯或簽入操作,應用程序安全測試必須在相同的時間范圍內運行,否則可能會使開發機器停止運轉。對于試圖以開發速度測試安全性的企業來說,動態應用安全測試(DAST)一直是一個負擔。”1
Seeker獨特的方式在緊密的“反饋回路”中持續降低應用安全風險,補充在開發周期后期進行的DAST掃描和滲透測試。DAST掃描和滲透測試通常都需要專門的帶外數據測試以及手動驗證和分類結果。為解決軟件依賴風險,Seeker集成了Black Duck Binary Analysis分析工具(此前稱為Protecode SC),可自動檢測開源組件中的已知漏洞和許可證沖突。Seeker也是目前唯一提供敏感數據跟蹤的IAST解決方案,有助于達到行業標準及符合法規,包括支付卡行業數據安全標準(PCI DSS)和《通用數據保護條例》(GDPR)等。Seeker開箱即用,易于部署,支持大規模、基于云和微服務的應用程序架構。
新思科技軟件質量與安全部門總經理Andreas Kuehlmann 表示:“Seeker專為采用DevOps的企業而設計,并利用自動化為客戶持續改進軟件。由于其持續監控,無與倫比的準確性和有針對性的修復指導,Seeker刪除了安全測試的手動元素,使開發人員能夠掌控應用風險。”
Seeker 2018.07的主要功能包括:
▲ 主動漏洞驗證,精準度高。 Seekers提供自動、主動驗證以確認檢測到的漏洞是否可被利用,是目前唯一具備這項功能的IAST解決方案。此驗證是通過獲得專利的技術實現的。該技術使用受污染的參數重放原始HTTP(S)請求,并監視生成的應用程序數據流。結果是誤報率接近于零,顯著低于其它IAST和DAST解決方案,并降低了人工驗證的成本。
▲ 敏感數據跟蹤:Seeker是目前唯一一種允許安全團隊識別和跟蹤敏感數據(如信用卡號,用戶名和密碼)的IAST工具,以確保安全處理并且不存儲在安全性低或者沒有加密的日志文件或數據庫中。敏感數據跟蹤可幫助企業遵守數據安全法規,包括PCI DSS、HIPAA和GDPR。
▲ CI/CD集成和靈活部署:Seeker幾乎可以部署在任何類型的自動或手動測試環境中,只需要非常少的配置。Seeker可以通過本機插件和易于使用的Web API無縫地融入CI/CD流程,以便漏洞跟蹤、構建和測試自動化工具。Seeker支持標準的、基于微服務和云的應用結構,并可針對大型企業的需求進行擴展。