- Seeker交互式應(yīng)用安全測(cè)試工具確保整個(gè)系統(tǒng)端到端遵守每個(gè)版本的安全標(biāo)準(zhǔn)。Seeker關(guān)注數(shù)據(jù),提供關(guān)鍵數(shù)據(jù)要求的測(cè)試,例如PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))第6節(jié)中定義的要求
- Seeker促進(jìn)測(cè)試和開(kāi)發(fā)團(tuán)隊(duì)之間的溝通。每個(gè)漏洞都會(huì)自動(dòng)鏈接到違規(guī)源代碼,并提供相關(guān)的補(bǔ)救建議。
- Seeker提升了安全編碼實(shí)踐的意識(shí)和增強(qiáng)了培訓(xùn)。Seeker引導(dǎo)開(kāi)發(fā)人員如何在自己的代碼中修復(fù)問(wèn)題,方便他們學(xué)習(xí)安全的編碼實(shí)踐。
美國(guó)新思科技公司發(fā)布的Seeker交互式應(yīng)用安全測(cè)試解決方案可以幫助開(kāi)發(fā)人員在軟件開(kāi)發(fā)生命周期( SDLC )早期解決關(guān)鍵安全漏洞,節(jié)省寶貴的時(shí)間、資源和成本。來(lái)自法國(guó)的停車(chē)和運(yùn)輸管理解決方案供應(yīng)商Parkeon公司通過(guò)采用Seeker解決方案,其公司的安全意識(shí)和生產(chǎn)力都得到大幅提升,測(cè)試和開(kāi)發(fā)團(tuán)隊(duì)可以快速、安全、合規(guī)地構(gòu)建軟件,從而保障其自身支付系統(tǒng)的安全性。
業(yè)務(wù)概況及挑戰(zhàn)
法國(guó)Parkeon公司是城市交通領(lǐng)域的佼佼者,也是停車(chē)和運(yùn)輸管理解決方案的全球供應(yīng)商。 Parkeon在全球55個(gè)國(guó)家的3,000多個(gè)城市提供獨(dú)特的停車(chē)控制和支付服務(wù)。
Parkeon開(kāi)發(fā)適用于所有銷(xiāo)售渠道的實(shí)時(shí)支付系統(tǒng) ,包括信用卡和借記卡、手機(jī)帳戶、預(yù)付卡、電子錢(qián)包以及接觸/非接觸式卡技術(shù)。這些解決方案部署在Parkeon自己的POS終端上,例如路邊停車(chē)收費(fèi)表或“憑票停車(chē)”以及 “pay-on-foot自助機(jī)”停車(chē)場(chǎng)。
隨著電子商務(wù)和遠(yuǎn)程(POS)安全漏洞頻發(fā),Parkeon將應(yīng)用程序的安全性提到最高水平,無(wú)論部署的地理位置在哪。
Parkeon的IT部門(mén)選擇了新思科技軟件質(zhì)量與安全部門(mén)的交互式應(yīng)用安全測(cè)試(IAST)工具Seeker,以驗(yàn)證其主要電子票務(wù)和交易產(chǎn)品ArchiPEL的端到端安全性和PCI(支付卡行業(yè))合規(guī)性。Parkeon之所以選擇Seeker,是因?yàn)樗哂芯_的漏洞檢測(cè)能力、PCI合規(guī)性檢測(cè)功能、可集成到開(kāi)發(fā)流程集成,而且即使是沒(méi)有安全專(zhuān)業(yè)知識(shí)的開(kāi)發(fā)人員和測(cè)試人員也可以輕松應(yīng)用Seeker。
“我們選擇了Seeker交互式應(yīng)用安全測(cè)試工具,因?yàn)闇y(cè)試人員和開(kāi)發(fā)人員不需要投入時(shí)間或擁有專(zhuān)業(yè)知識(shí)來(lái)定期執(zhí)行安全任務(wù)。Seeker提供漏洞與受影響源代碼之間的關(guān)聯(lián),從而節(jié)省開(kāi)發(fā)人員的工作量。”
—Parkeon 公司管理業(yè)務(wù)服務(wù)部門(mén)首席信息安全官L. Porchon
解決方案評(píng)估
Parkeon構(gòu)建完整的支付解決方案,幫助客戶集中電子支付流程。這兩項(xiàng)活動(dòng)都要求整體解決方案架構(gòu)符合行業(yè)中的標(biāo)準(zhǔn)和規(guī)范,例如PCI DSS。
Parkeon一直在使用動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST)工具來(lái)驗(yàn)證其集成環(huán)境中應(yīng)用程序的安全性,但該解決方案并沒(méi)有完全符合他們的要求。
該應(yīng)用程序采用敏捷開(kāi)發(fā)方法開(kāi)發(fā),每季度更新五次。Parkeon需要一種工具,將安全驗(yàn)證集成到現(xiàn)有的自動(dòng)化流程中,并且非安全專(zhuān)家的開(kāi)發(fā)人員和測(cè)試人員可以輕松操作。
部署及裨益
部署了新思科技軟件質(zhì)量與安全部門(mén)的Seeker交互式應(yīng)用安全測(cè)試工具,Parkeon公司獲得以下三大裨益:
- 首先,Seeker了解并驗(yàn)證數(shù)據(jù)如何流經(jīng)應(yīng)用程序,確保整個(gè)系統(tǒng)端到端符合PCI DSS等安全標(biāo)準(zhǔn)。它還能識(shí)別與敏感數(shù)據(jù)影響相關(guān)的漏洞。
- Seeker提供的測(cè)試有助于滿足PCI DSS第6節(jié)的要求。通過(guò)支付鏈的各個(gè)組件自動(dòng)跟蹤關(guān)鍵數(shù)據(jù)(如信用卡信息),Seeker可以驗(yàn)證是否存在漏洞,例如遺忘的調(diào)試數(shù)據(jù)、不安全的操作、不安全的存儲(chǔ),甚至是暫時(shí)存在于文件或數(shù)據(jù)庫(kù)中,向第三方進(jìn)行不安全傳播等潛在危險(xiǎn)。通過(guò)Seeker,Parkeon可以自動(dòng)確保整個(gè)系統(tǒng)符合每個(gè)版本的安全標(biāo)準(zhǔn)。
- 其次,Seeker通過(guò)將漏洞定位至源代碼庫(kù)中,促進(jìn)測(cè)試和開(kāi)發(fā)團(tuán)隊(duì)之間的溝通。其它動(dòng)態(tài)測(cè)試工具只是通過(guò)違規(guī)URL報(bào)告漏洞。Seeker與此不同,它可以自動(dòng)將漏洞與代碼庫(kù)聯(lián)系起來(lái),以確定哪里必須要進(jìn)行修復(fù)。它將誤報(bào)減少至接近于零,精準(zhǔn)定位易受攻擊的源代碼,并為開(kāi)發(fā)人員提供面向測(cè)試應(yīng)用程序量身定制的明確的補(bǔ)救建議。
通過(guò)采用Seeker,Parkeon提高了安全性,減少了在安全測(cè)試方面花費(fèi)的時(shí)間,并且改善了安全和研發(fā)團(tuán)隊(duì)之間的溝通效率:
- 開(kāi)發(fā)人員將時(shí)間專(zhuān)注于經(jīng)過(guò)驗(yàn)證的漏洞以及Seeker所建議的源代碼更正上。
- 測(cè)試人員清楚地了解應(yīng)用程序與OWASP Top10標(biāo)準(zhǔn)以及Parkeon公司安全標(biāo)準(zhǔn)相關(guān)的風(fēng)險(xiǎn)狀況。
第三,Seeker有助于提高安全意識(shí),并且培訓(xùn)開(kāi)發(fā)人員按照OWASP Top 10的標(biāo)準(zhǔn)進(jìn)行安全編碼實(shí)踐。通過(guò)解釋業(yè)務(wù)風(fēng)險(xiǎn)并提供詳細(xì)的、前后關(guān)聯(lián)的補(bǔ)救建議,Seeker幫助Parkeon的測(cè)試和開(kāi)發(fā)團(tuán)隊(duì)提升安全意識(shí),并進(jìn)行持續(xù)的培訓(xùn),從而提高了其代碼的安全性。
“Seeker交互式應(yīng)用安全測(cè)試工具解決了我們集成和自動(dòng)化的需求。它為用戶提供培訓(xùn)和知識(shí)。Seeker是一套完美的工具,幫助我們提高安全實(shí)踐以構(gòu)建杰出的軟件。”
—Parkeon 公司管理業(yè)務(wù)服務(wù)部門(mén)首席信息安全官L. Porchon
總結(jié)
新思科技軟件質(zhì)量與安全部門(mén)的Seeker交互式應(yīng)用安全測(cè)試工具無(wú)縫集成到Parkeon公司的安全自動(dòng)化流程,確保其開(kāi)發(fā)和測(cè)試團(tuán)隊(duì)能快速、安全并且合規(guī)地發(fā)布產(chǎn)品,同時(shí)提高生產(chǎn)力和安全意識(shí)。