应用程序安全测试/审计与脆弱性分析
可靠的应用程序安全既是常规安全要求,也是支付卡数据安全工业标准(PCI DSS)的一项要求。网络安全、系统安全和渗透测试相对更容易从软件开发活动中剥离出来(这也是渗透测试服务商非常普遍的原因之一),但应用程序安全却遍布整个开发周期。因此,要实现充分可靠的应用程序安全必须做好以下两点:
- 设定安全流程。引入应用程序安全活动时,应尽可能地避免对现有软件开发流程的破坏,在不引入不必要安全活动的前提下实现公司的应用程序安全目标。不同公司的应用程序安全目标也不尽相同:有些公司的初衷可能是想获得 PCI DSS 认证,而有些公司则是希望通过深入可靠的安全措施保护公司自身的利益,而非支付卡供应商的利益。另一个挑战是如何确保开发流程的所有参与者都具备必需的安全知识并熟悉与各自任务角色相关的安全要求。
- 不断更新并改善流程 。应用程序安全审计不仅需要专业技术支持,还可能需要投入相当的人力,因此,即便是完全贴合公司目标而制定的精简流程,其高昂的成本仍然可能让公司望而却步。虽然自动化工具(例如Fortify SCA 与PMD)会有所帮助,但仍然有许多工作需要通过有相关技能的人力完成,例如:检查安全代码分析程序的输出,区分误报和系统真正的脆弱性。此外,任何一种自动化工具都无法检查业务需要及设计文档,而公司需要通过这些检查提前发现并解决潜在的系统脆弱性,防止因错误实施而浪费时间和资金。
益进信息服务有限公司在应用程序安全服务领域拥有丰富的实践经验并积累了众多优质客户。我们的应用程序安全服务主要包括:
共享应用程序安全流程
- 检查开发流程现有的安全体系,并明确其不足之处和/或低效问题
- 引进缺少的流程阶段、标准和项目工件 (artifacts)
- 根据业务经理、IT经理、开发员及测试员各自的任务角色,为他们定制并开展应用程序安全培训
外包应用程序安全测试流程的劳动密集型部分
- 业务需求的安全检查
- 设计方案的安全检查
- 威胁建模
- 反复多次扫描代码,发现安全脆弱性
- 应用程序与系统发行前安全审计白盒测试
- 开发说明与网络安全检查
将上述工作外包不仅能够降低成本,而且完全符合 PCI DSS 第 6.6 条要求:“专业应用程序安全服务供应方”既可以是第三方公司,也可以是公司内部组织,但前提是检查人员必须具备应用程序安全专业知识与技能,并且能够不依靠开发团队独立完成应用程序安全审计。
