Synopsys Seeker交互式应用程序安全测试

描述

需要分析 IoT Web 应用是否存在可能泄露敏感数据的漏洞?需要遵守 PCI DSS 或 GDPR 等法规,但又不中断您的持续集成和交付 (CI/CD) 工作流?如果是这样,您需要一个漏洞寻求者。

Synopsys 的 Seeker 交互式应用程序安全测试 (IAST) 程序监控代码、数据流和内存,以识别敏感数据,并确保其不会存储在加密较弱或不存在的文件或数据库中。换句话说,该工具不仅可以发现漏洞,还可以确定是否可以利用它们。

通过自动化运行时测试,Seeker 动态分析 HTTP 流量;后端连接;以及开源、第三方和自定义应用程序代码,用于将误报与已识别的漏洞区分开来。它测试应用程序组件,包括:

C#,JavaScript,PHP,Scala等语言。

平台和运行时,如Java和.NET

数据库,如NoSQL和SQL

应用程序类型,如 JSON、RESTful、Mobile、Web API 等。

云平台,如Azure,AWS,Google Cloud等。

通过参数识别等功能,该工具会隔离未使用的参数等组件,并用恶意值填充它们,以确定代码是否可以用作攻击的后门。

敏感数据的风险以统一的实时视图呈现给测试人员,其中包含所有检测到的漏洞的技术解释。该工具进一步提供基于上下文的修复说明和示例代码修复,帮助减少团队调整设计中风险最大的部分所需的 DevOps 时间。

Synopsys声称该解决方案“比传统的动态测试更准确”,还集成了Black Duck Software的二进制分析,用于开源漏洞,版本控制和许可范围。

Synopsys Seeker IAST 行动:

对于 CI/CD 和 DevOps 部署,Seeker 的原生集成和 Web API 允许将其添加到现有的构建服务器和测试工具中,无论应用程序是本地、基于云的还是容器化的。这允许在软件开发生命周期的 QA 和测试阶段实施该工具的运行时分析和检测技术,直到生产部署。

当用于发现导致敏感数据的攻击媒介时,测试人员首先标记信用卡信息、用户名和密码等数据,或者属于 PCI 或 GDPR 等法规范围的任何数据。然后,在每个应用程序节点(例如容器、VM 和云实例)上部署导引头代理,这些节点跟踪应用程序执行的每个操作。这些代理由自动生成的 URL 映射实用程序提供支持,该实用程序生成一个包含测试覆盖率计划。

然后,代理执行逐行分析,检查代码、敏感数据和数十万个 HTTP(S) 请求之间的交互,这些请求提供了应用程序组件的全面覆盖。HTTP请求监控有助于将误报与真实漏洞隔离开来,Synopsys表示,与替代进程的平均误报率20%相比,误报率降低到5%以下。

Seeker 的测试结果显示在一个全面的仪表板中,该仪表板提供针对 OWASP 前 10 名、PCI DSS、GDPR 和 CWE/SANS 前 25 名的合规性分数或评级。当应用程序面临暴露敏感信息的风险时,仪表板还会显示警报。

JAVA

导引头也提供不显眼的被动监控版本

审核编辑:郭婷

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分