• 女性之声——全国妇联 2019-03-18
  • 枪杀中国女留学生江玥嫌犯已认罪 或获刑7至8年 2019-03-10
  • 网友投诉扰民 绍兴环保局回复"正吃切糕呢" 2019-03-10
  • 张飞软硬开源基于STM32 BLDC直流无刷电机驱动器开发视频套件,??戳此立抢??

    福彩双色球开奖结果:提高软件质量和安全性需要交互式应用安全测试与软件组件分析相结合

    2018-11-12 16:25 ? 次阅读

    山东11选5走势图 www.iic6.com 作者:新思科技软件质量与安全部门技术布道师Tim Mackey

    当今世界,软件与我们的联系越来越密切。软件给我们带来便利的同时也使我们面临软件安全问题,如果软件出现质量和安全问题,那么造成的风险影响就会越来越大。因此,选择智能全面的软件安全解决方案来提高软件质量和安全性至关重要。

    交互式应用安全测试(IAST)和软件组件分析(SCA)是应用程序安全测试中两款强大、但相对来说比较新的技术。使用动态测试(即运行时测试)技术可以发现正在运行的Web应用的漏洞。IAST解决方案旨在帮助企业识别和管理与这些漏洞有关的安全风险。

    SCA是市场分析师创造的一个术语,描述了自动识别代码库中开源组件的过程。一旦识别出组件,就可以对比已知的安全问题,判断组件是否存在这些隐患,了解在一个应用里面是否存在组件的不同版本。另外,SCA还可以帮助识别组件的年份,确定是否需要维护。除了安全方面的问题,SCA还可以发现开源代码中的许可证合规性问题。

    提高软件质量和安全性需要交互式应用安全测试与软件组件分析相结合

    IAST和SCA结合的必要性

    根据2018年Verizon数据泄露调查报告,Web应用程序攻击仍然是数据泄露最常见的载体。Web应用程序是黑客试图访问敏感IP/数据和个人数据(比如用户名和密码、信用卡账号和患者信息)的首选攻击界面。企业需要确保他们开发的web应用程序是安全的,最好是在投产之前就已经确保安全性,并且当关键漏洞被发现时,开发者可以快速将其修复。

    Web应用程序很少仅由专有代码组成。事实上,相反来说,开源代码组件在商业和内部应用程序中无处不在。新思科技开源研究和创新中心发布的2018年开源安全和风险分析报告(OSSRA)显示在1,100个被扫描的应用程序中有96%存在开源组件,每个应用程序中平均有257个组件。因为企业通常不知道他们使用多少甚至使用什么开源组件,当开源组件的漏洞被发现时,他们可能不知不觉中已经成为攻击者的目标。OSSRA报告显示,78% 被检查的代码库中至少包含一个漏洞,每个代码库平均包含 64个漏洞。

    虽然开发和安全团队经常使用静态应用安全测试工具(SAST)和软件组件分析解决方案(SCA)来识别web应用程序中的安全缺陷和漏洞,但只有通过动态测试才能检测正在运行的应用程序中的许多漏洞,从而推动了动态应用安全测试工具(DAST)的发展。尽管与传统的DAST和渗透测试工具有相似之处,IAST在软件开发生命周期(SDLC)早期发现漏洞的能力要优于前两者,在修复漏洞时更容易、更快速且成本更低。随着时间的推移,IAST很有可能会取代DAST。这有两方面的原因:第一,IAST在软件开发生命周期早期反馈漏洞信息并迅速提供补救指南方面具有强大优势;第二,它还可以更轻松地集成到CI/CD和DevOps工作流程中。

    往软件开发生命周期左端推移

    IAST通常用在软件开发生命周期的测试和质量保证(QA)阶段。采用IAST可以有效地将测试往软件开发生命周期左端推移,尽早发现问题并且降低补救成本,减少产品发布延迟。当重新编译更改的代码并重新测试正在运行的应用程序时,最新一代的IAST工具能即刻反馈结果。

    IAST从应用程序内部进行分析,可以访问应用程序代码、运行时控制和数据流信息、内存和堆栈追踪信息、网络请求和响应、库、框架和其它组件(通过与SCA工具集成)。该分析不仅可以使开发人员查明已识别漏洞的来源,而且可以快速解决问题。

    IAST工具需要具备哪些功能?

    我们要依据哪些标准来挑选一款IAST工具?它可以执行应用程序代码审查。而且这些应用程序是以你现在使用的编程语言编写的;它还需要与软件使用的底层框架兼容;还有一点很重要,它必须可以轻松、快速地进行部署,并与CI/CD工作流程无缝集成;此外,我们希望IAST工具还可以与任何类型的测试方法兼容,包括 现有的自动化测试、手动QA/开发测试、自动网络爬虫、单元测试等等。

    有效的IAST工具可以为DevOps团队提供识别安全漏洞的能力,并且可以告知该漏洞是否会被利用。现在任何IAST工具都应该包括web APIs,使DevOps能够将测试集成到持续集成构建中。这些构建过程会使用到Jenkins等持续集成工具。

    随着软件中开源代码使用的普及,有效的IAST工具需要了解所测试的应用程序的开源组件。SCA工具负责分析开源组件。

    了解在指定的应用程序中的开源漏洞是否会被利用,需要了解易受攻击的组件是否存在、漏洞的利用如何运作、以及应用程序如何利用该组件。只有高效的IAST和SCA工具组合才能有效识别该级别的软件风险并指导开发人员解决问题。集成的IAST和SCA解决方案可以帮助开发团队构建更安全的软件、最大限度地降低风险,同时最大限度的加快开发速度和产量,并且提高软件的质量。

    收藏 人收藏
    分享:

    评论

    相关推荐

    Python入门基?。ㄋ模猅ornado视频教程

     Tornado是一种 Web 服务器软件的开源版本。Tornado和现在的主流 Web 服务器框架(包括大多数Pyth
    发表于 01-10 00:00 ? 26117次 阅读
    Python入门基?。ㄋ模猅ornado视频教程

    LabVIEW软件中最常用的快捷键情况

    LabVIEW是专为测试、测量和控制应用而设计的系统工程软件,可快速访问硬件和各种数据信息。如果你以....
    的头像 电子发烧友网 发表于 03-12 10:32 ? 187次 阅读
    LabVIEW软件中最常用的快捷键情况

    中国软件开发领域的发展现状,由浅入深地解读一番吧!

    但与之相对的,40 岁以上的开发者占比几乎可以忽略不计。根据不同年龄段的职位分布表也可见一斑,仍有部....
    的头像 电子发烧友网工程师 发表于 03-10 10:07 ? 1506次 阅读
    中国软件开发领域的发展现状,由浅入深地解读一番吧!

    请问有会开发手机技术软件吗

    有会开发手机技术软件的麻烦联系我下Q394224537...
    发表于 03-07 23:37 ? 93次 阅读
    请问有会开发手机技术软件吗

    如何减轻软件开发的回测压力,从而提高工程师的生产效率?

    这种方法有一个明显的缺点:它以说「是的,本测试受到影响」告终的次数比实际所需要的要多。平均而言,对于....
    的头像 嵌入式资讯精选 发表于 02-04 14:02 ? 268次 阅读
    如何减轻软件开发的回测压力,从而提高工程师的生产效率?

    软件开发从业者解读任正非的新年公开信

    任正非发出的这封信的大背景也很特殊,2018 年中美贸易战开始,中兴、华为首当其冲成为美国开刀的对象....
    的头像 Linux爱好者 发表于 01-28 15:13 ? 885次 阅读
    软件开发从业者解读任正非的新年公开信

    新思科技发布最新版Coverity 静态应用安全测试解决方案

    美国新思科技公司 宣布发布其最新版的Coverity静态应用安全测试(SAST)解决方案,这能帮助各....
    的头像 人间烟火123 发表于 01-14 11:18 ? 1816次 阅读
    新思科技发布最新版Coverity 静态应用安全测试解决方案

    未雨绸缪,防患于未然 新思科技剖析2019年软件安全趋势

    近年来,云计算、人工智能(AI)、机器学习(ML)、物联网(IoT)和大数据在很大程度上推动了企业运....
    的头像 人间烟火123 发表于 01-14 11:10 ? 2771次 阅读
    未雨绸缪,防患于未然  新思科技剖析2019年软件安全趋势

    新思科技Seeker保障法国Parkeon公司支付系统安全

    美国新思科技公司发布的Seeker是一套交互式应用安全测试(IAST)解决方案,其最新版本经过重新设....
    的头像 人间烟火123 发表于 12-25 16:28 ? 1641次 阅读
    新思科技Seeker保障法国Parkeon公司支付系统安全

    2019年最热门职业TOP10:云计算、AI年收入10万美元

    临近年底,不少公司出现了裁员新闻,很多人也想着换一份更好的工作,除了PayScale网站的总结报告,....
    的头像 新智元 发表于 12-22 09:50 ? 4186次 阅读
    2019年最热门职业TOP10:云计算、AI年收入10万美元

    更快,更好,更便宜——软件开发的艺术

    在软件产品业务中,软件就是我们用来减少客户痛苦的东西。对于这种类型的业务,软件开发就是提供价值的关键....
    的头像 电子发烧友网工程师 发表于 12-21 10:38 ? 509次 阅读
    更快,更好,更便宜——软件开发的艺术

    新思科技使用智能模糊测试工具Defensics检测到D-Link的行为漏洞

    新思科技在早前发现D-Link DIR-850存在漏洞。此漏洞允许未经过身份验证的用户加入路由器提供....
    的头像 人间烟火123 发表于 11-30 18:10 ? 3275次 阅读
    新思科技使用智能模糊测试工具Defensics检测到D-Link的行为漏洞

    Helix QAC/QAC++软件静态测试工具

    概述         美国Perforce公司(原PRQA公司)是被世界范围内的高级软件开发人员、行业专家...
    发表于 11-19 11:14 ? 166次 阅读
    Helix QAC/QAC++软件静态测试工具

    为什么选择英特尔与所有其他资源?

    了解软件开发人员在开发人员资源,知识和工具方面转向英特尔的原因。
    的头像 英特尔 Altera视频 发表于 11-14 06:53 ? 320次 观看
    为什么选择英特尔与所有其他资源?

    Synopsys推出支持TSMC 7nm工艺技术

    新思科技(Synopsys)推出支持TSMC 7nm FinFET工艺技术的汽车级DesignWar....
    发表于 11-13 16:20 ? 209次 阅读
    Synopsys推出支持TSMC 7nm工艺技术

    介绍英特尔黑带软件开发人员Christopher Price

    Christopher Price是iConsole.tv的首席执行官,是最新的英特尔?黑带软件开发....
    的头像 英特尔 Altera视频 发表于 11-07 06:11 ? 343次 观看
    介绍英特尔黑带软件开发人员Christopher Price

    退休的Tim Prince谈论如何继续参加论坛活动

    英特尔?黑带软件开发人员Tim Prince与Kathy Farrel谈论他如何继续参与英特尔?开发....
    的头像 英特尔 Altera视频 发表于 11-07 06:08 ? 313次 观看
    退休的Tim Prince谈论如何继续参加论坛活动

    Clay Breshears博士讨论基因组测序和生物信息学

    英特尔?黑带软件开发人员Clay Breshears博士讨论了他目前如何在英特尔?健康与生命科学小组....
    的头像 英特尔 Altera视频 发表于 11-07 06:07 ? 394次 观看
    Clay Breshears博士讨论基因组测序和生物信息学

    Jim Dempsey成为英特尔黑带软件开发人员的6年

    Jim Dempsey已担任英特尔?黑带软件开发人员已有6年,他与Russ Beutler讨论了自加....
    的头像 英特尔 Altera视频 发表于 11-07 06:01 ? 299次 观看
    Jim Dempsey成为英特尔黑带软件开发人员的6年

    英特尔黑带软件开发人员David Stewart

    英特尔?黑带软件开发人员戴夫斯图尔特谈到了他参与Yocto项目以及他如何成为黑带开发者的问题。
    的头像 英特尔 Altera视频 发表于 11-07 06:00 ? 321次 观看
    英特尔黑带软件开发人员David Stewart

    新思科技应对人工智能(AI)系统级芯片提出下一代架构探索解决方案

    新思科技宣布,推出适用于下一代架构探索、分析和设计的解决方案Platform Architect?U....
    的头像 人间烟火123 发表于 11-01 11:51 ? 3240次 阅读
    新思科技应对人工智能(AI)系统级芯片提出下一代架构探索解决方案

    30岁之后转行做软件开发的10个故事

    常有人说 30 或 35 岁不适合做开发写代码了。那 35 岁以后转行做软件开发还可行么? 35、4....
    的头像 工程师人生 发表于 10-30 11:27 ? 1979次 阅读
    30岁之后转行做软件开发的10个故事

    软件安全构建成熟度模型BSIMM9 现已上线

    今时今日,软件可谓无处不在。然而安全漏洞问题也层出不穷。因此,制定一个行之有效的软件安全计划至关重要....
    的头像 人间烟火123 发表于 10-26 10:48 ? 2558次 阅读
    软件安全构建成熟度模型BSIMM9 现已上线

    新思科技宣布将Truphone嵌入式SIM软件整合到DesignWaretRoot硬件安全??橹?/a>

    2018年10月24日,新思科技宣布,将Truphone嵌入式SIM(eUICC)软件整合到Desi....
    的头像 半导体动态 发表于 10-24 15:55 ? 1780次 阅读
    新思科技宣布将Truphone嵌入式SIM软件整合到DesignWaretRoot硬件安全??橹? />    </a>
</div><div class=

    新思科技加快下一代设计 设计平台成功获的TSMC 5nm EUV工艺技术认证

    IC Compiler II和Design Compiler Graphical提供了统一流程,实现....
    的头像 人间烟火123 发表于 10-23 14:29 ? 2198次 阅读
    新思科技加快下一代设计 设计平台成功获的TSMC 5nm EUV工艺技术认证

    新思科技推出基于TSMC 7nm FinFET工艺技术的汽车级IP

    基于7nm工艺技术的控制器和PHY IP具有丰富的产品组合,包括LPDDR4X、MIPI CSI-2....
    的头像 人间烟火123 发表于 10-18 14:57 ? 2098次 阅读
    新思科技推出基于TSMC 7nm FinFET工艺技术的汽车级IP

    加强软件安全性 推动汽车行业发展

    汽车软件不再局限使用于汽车内部的少数零部件,而是变得复杂和相互连接。尽管现在汽车中的软件仍然是一个早....
    的头像 人间烟火123 发表于 10-11 10:51 ? 1939次 阅读
    加强软件安全性 推动汽车行业发展

    关于开发运维必备的20款工具,你知道哪些?

    开发运维工具与软件开发领域的最佳实践密切相关,也与必要的规范密切相关。
    的头像 马哥Linux运维 发表于 09-23 09:50 ? 2182次 阅读
    关于开发运维必备的20款工具,你知道哪些?

    一家做无人机软件开发的公司——3DR

    最近,3DR宣布与Autodesk合作。3DR的产品Site Scan数据将可以在Autodesk工....
    的头像 无人机网 发表于 09-21 14:34 ? 5572次 阅读
    一家做无人机软件开发的公司——3DR

    新思科技携手IBM,通过DTCO创新加速后FinFET工艺开发

    采用新思科技Sentaurus、Process Explorer、StarRC、SiliconSma....
    的头像 人间烟火123 发表于 09-21 11:53 ? 2652次 阅读
    新思科技携手IBM,通过DTCO创新加速后FinFET工艺开发

    新思科技发布ClearView芯片和VR Bridge产品

    据外媒报道,新思科技(Synaptics)发布新版ClearView显示器驱动芯片,该款经优化的部件....
    的头像 罗欣 发表于 09-19 11:07 ? 1315次 阅读
    新思科技发布ClearView芯片和VR Bridge产品

    软件开发过程中需要的十三类文档

    在软件项目开发过程中,应该按软件开发要求撰写十三类文档,文档编制要求具有针对性、精确性、清晰性、完整....
    发表于 09-15 09:03 ? 664次 阅读
    软件开发过程中需要的十三类文档

    软件开发人员正逐步成为一个企业成败的关键

    考虑到开发人员对公司的成败起着决定性作用,上述问题就变得令人堪忧了。软件开发人员并不会对“创意”造成....
    的头像 新智元 发表于 09-13 08:45 ? 1131次 阅读
    软件开发人员正逐步成为一个企业成败的关键

    开源组件审计在并购交易中的意义与价值

    为了对抗日渐猖獗的网络攻击,各大公司在安全领域的投资也随之持续增加,包括并购其它有相应技术和软件的公....
    的头像 人间烟火123 发表于 09-12 12:59 ? 1733次 阅读
    开源组件审计在并购交易中的意义与价值

    新思科技凭借突破性机器学习技术将形式属性验证性能提高10倍

    新思科技宣布,推出一种基于人工智能(AI)的最新形式验证应用,即回归模式加速器。作为新思科技VC F....
    的头像 人间烟火123 发表于 09-06 11:13 ? 2692次 阅读
    新思科技凭借突破性机器学习技术将形式属性验证性能提高10倍

    请问有没有在arm-linux上安装PyQt4的方法

    目前在一个在arm上运行的linux系统,需要安装PyQt4,不知道有没有这方面经验的人。 我按照官方步骤是先安装SIP再安装PyQ...
    发表于 09-02 19:10 ? 548次 阅读
    请问有没有在arm-linux上安装PyQt4的方法

    如何做到更有效的安全防护成为金融服务机构的关注点

    近年来,得益于云计算、大数据、人工智能、区块链等技术的发展,金融服务也更加多样、便利及智能。与此同时....
    的头像 人间烟火123 发表于 08-29 11:47 ? 1755次 阅读
    如何做到更有效的安全防护成为金融服务机构的关注点

    新思科技亮相2018中国智博会 推出汽车电子智能化解决新方案

    新思科技宣布,受邀参加于2018年8月23日至25日在重庆国际博览中心举办的“2018中国国际智能产....
    的头像 人间烟火123 发表于 08-27 08:48 ? 2231次 阅读
    新思科技亮相2018中国智博会 推出汽车电子智能化解决新方案

    新思科技:全方位服务中国IC企业,承接高端技术研发

    我们很少看到一家外资企业在中国本土建设自己的全球研发中心,这是因为固定资产运作起来耗时费力,而外企....
    发表于 08-25 09:29 ? 771次 阅读
    新思科技:全方位服务中国IC企业,承接高端技术研发

    中国集成电路产业人才白皮书发布 产业人才平均月薪仅9千

    日前,中国电子信息产业发展研究院(CCID)和工业和信息化部软件与集成电路促进中心(CSIP)联合中....
    的头像 章鹰 发表于 08-20 08:45 ? 5244次 阅读
    中国集成电路产业人才白皮书发布 产业人才平均月薪仅9千

    新思科技助力《中国集成电路产业人才白皮书(2017-2018)》成功发布

    中国电子信息产业发展研究院(CCID)和工业和信息化部软件与集成电路促进中心(CSIP)联合中国国际....
    的头像 罗欣 发表于 08-17 17:10 ? 1576次 阅读
    新思科技助力《中国集成电路产业人才白皮书(2017-2018)》成功发布

    新思科技正式发布《中国集成电路产业人才白皮书(2017-2018)》

    新思科技宣布,中国电子信息产业发展研究院(CCID)和工业和信息化部软件与集成电路促进中心(CSIP....
    的头像 人间烟火123 发表于 08-17 16:00 ? 3665次 阅读
    新思科技正式发布《中国集成电路产业人才白皮书(2017-2018)》

    新思科技调查:67%企业缺乏熟练的专业人才或培训 阻碍软件安全计划的实施进展

     如果要开发软件,就必须拥有软件安全计划 (SSI)。实施SSI 可以尽可能地防止安全缺陷进入到生产....
    的头像 人间烟火123 发表于 08-13 12:28 ? 1933次 阅读
    新思科技调查:67%企业缺乏熟练的专业人才或培训 阻碍软件安全计划的实施进展

    新思科技海外首次投资建设的武汉全球研发中心顺利封顶19年建成投用

    新思科技武汉全球研发中心座落于武汉东湖新技术开发区,是新思科技在海外首次投资建设的顶级研发中心,预计....
    发表于 08-02 17:29 ? 427次 阅读
    新思科技海外首次投资建设的武汉全球研发中心顺利封顶19年建成投用

    Arm最新高级移动平台,成功实现了SoC流片

    新思科技设计事业部全球总经理Deirdre Hanford表示:“Arm与新思科技的早期和深入合作为....
    发表于 07-28 11:17 ? 320次 阅读
    Arm最新高级移动平台,成功实现了SoC流片

    新思科技助力包括Cortex-A76和Mali-G76处理器在内的Arm最新高级移动IP的早期使用者实现成功流片

    DesignWare Interface IP包括USB、DDR、PCI Express、MIPI和....
    的头像 人间烟火123 发表于 07-26 15:21 ? 2404次 阅读
    新思科技助力包括Cortex-A76和Mali-G76处理器在内的Arm最新高级移动IP的早期使用者实现成功流片

    物联网主流的软件开发模式是怎么样的?

    物联网设备,因为要连接网络和应用的多样化,导致软件的开发难度和复杂度大幅地增加,开发方式也会与之前的....
    的头像 RTThread物联网操作系统 发表于 07-22 11:23 ? 3974次 阅读
    物联网主流的软件开发模式是怎么样的?

    新思科技Synphony HLS解决方案

    新思科技公司高层级综合法和系统级别营销总监Chris Eddington介绍说,Synphony H....
    发表于 07-19 15:40 ? 297次 阅读
    新思科技Synphony HLS解决方案

    新思科技Custom Design Platform获批三星7LPP工艺技术认证

    · 新思科技Custom Design Platform为三星7LPP工艺技术提供经认证的工具、PD....
    的头像 人间烟火123 发表于 07-18 11:46 ? 3440次 阅读
    新思科技Custom Design Platform获批三星7LPP工艺技术认证

    十二大学习软件开发的新人必备技能详解

    对于刚开始学习软件开发的新人来说,“必备技能”往往意味着一个长长的、标有重要度的学习列表,但是过长....
    发表于 07-13 12:01 ? 2215次 阅读
    十二大学习软件开发的新人必备技能详解

    新思科技Fusion技术助力三星7LPP EUV工艺降低功耗、缩小面积并提高性能

    新思科技设计事业部营销与商务开发副总裁Michael Jackson表示:“我们与三星的工具和参考流....
    的头像 章鹰 发表于 07-05 14:15 ? 1894次 阅读
    新思科技Fusion技术助力三星7LPP EUV工艺降低功耗、缩小面积并提高性能

    新思科技公司宣布集成化混合原型验证解决方案

    通过对新设计的功能使用Virtualizer虚拟原型技术和对重用逻辑使用基于FPGA的HAPS原型技....
    发表于 07-02 11:50 ? 386次 阅读
    新思科技公司宣布集成化混合原型验证解决方案

    AI芯片市场将爆发至近200亿美元 市场蛋糕如何争夺

    AI计算正处于爆发增长期,国际权威基金评级机构Morningstar预测,2021年全球AI芯片市场....
    的头像 章鹰 发表于 06-25 11:02 ? 2709次 阅读
    AI芯片市场将爆发至近200亿美元 市场蛋糕如何争夺

    请问初学者学习ARM软件开发常见的问题有哪些?

    没有用过ARM,刚开始学,想请教一下ARM的软件开发环境选择CCSV5,可以再windows的操作系统下完成么?软件开发一定要...
    发表于 06-04 05:05 ? 586次 阅读
    请问初学者学习ARM软件开发常见的问题有哪些?

    [深入浅出嵌入式底层软件开发].唐攀.扫描版

    [深入浅出嵌入式底层软件开发].唐攀.扫描版(jb51.net)...
    发表于 02-28 22:21 ? 1209次 阅读
    [深入浅出嵌入式底层软件开发].唐攀.扫描版

    湖北外企诚聘嵌入式软件开发

    要求: 1.一年及以上嵌入式软件单片机开发经验。 2.懂C和C++语言编程。 3.英语读写没问题。 工作地点:湖北武汉知名欧资...
    发表于 01-11 09:47 ? 1137次 阅读
    湖北外企诚聘嵌入式软件开发

    软件开发为什么很难?

    最初在1999年被Dave Snowden开发出来的 Cynefin 框架尝试把世界上的问题划分到了5个域中(大类): 简单(Simp...
    发表于 10-24 08:29 ? 1042次 阅读
    软件开发为什么很难?
  • 女性之声——全国妇联 2019-03-18
  • 枪杀中国女留学生江玥嫌犯已认罪 或获刑7至8年 2019-03-10
  • 网友投诉扰民 绍兴环保局回复"正吃切糕呢" 2019-03-10