—Parkeon 公司管理業(yè)務(wù)服務(wù)部門首席信息安全官L. Porchon

解決方案評估

Parkeon構(gòu)建完整的支付解決方案，幫助客戶集中電子支付流程。這兩項活動都要求整體解決方案架構(gòu)符合行業(yè)中的標(biāo)準(zhǔn)和規(guī)范，例如PCI DSS。

Parkeon一直在使用動態(tài)應(yīng)用安全測試（DAST）工具來驗證其集成環(huán)境中應(yīng)用程序的安全性，但該解決方案并沒有完全符合他們的要求。

該應(yīng)用程序采用敏捷開發(fā)方法開發(fā)，每季度更新五次。Parkeon需要一種工具，將安全驗證集成到現(xiàn)有的自動化流程中，并且非安全專家的開發(fā)人員和測試人員可以輕松操作。

部署及裨益

部署了新思科技軟件質(zhì)量與安全部門的Seeker交互式應(yīng)用安全測試工具，Parkeon公司獲得以下三大裨益：

首先，Seeker了解并驗證數(shù)據(jù)如何流經(jīng)應(yīng)用程序，確保整個系統(tǒng)端到端符合PCI DSS等安全標(biāo)準(zhǔn)。它還能識別與敏感數(shù)據(jù)影響相關(guān)的漏洞。

Seeker提供的測試有助于滿足PCI DSS第6節(jié)的要求。通過支付鏈的各個組件自動跟蹤關(guān)鍵數(shù)據(jù)（如信用卡信息），Seeker可以驗證是否存在漏洞，例如遺忘的調(diào)試數(shù)據(jù)、不安全的操作、不安全的存儲，甚至是暫時存在于文件或數(shù)據(jù)庫中，向第三方進行不安全傳播等潛在危險。通過Seeker，Parkeon可以自動確保整個系統(tǒng)符合每個版本的安全標(biāo)準(zhǔn)。

其次，Seeker通過將漏洞定位至源代碼庫中，促進測試和開發(fā)團隊之間的溝通。其它動態(tài)測試工具只是通過違規(guī)URL報告漏洞。Seeker與此不同，它可以自動將漏洞與代碼庫聯(lián)系起來，以確定哪里必須要進行修復(fù)。它將誤報減少至接近于零，精準(zhǔn)定位易受攻擊的源代碼，并為開發(fā)人員提供面向測試應(yīng)用程序量身定制的明確的補救建議。

通過采用Seeker，Parkeon提高了安全性，減少了在安全測試方面花費的時間，并且改善了安全和研發(fā)團隊之間的溝通效率：

• 開發(fā)人員將時間專注于經(jīng)過驗證的漏洞以及Seeker所建議的源代碼更正上。
• 測試人員清楚地了解應(yīng)用程序與OWASP Top10標(biāo)準(zhǔn)以及Parkeon公司安全標(biāo)準(zhǔn)相關(guān)的風(fēng)險狀況。

第三，Seeker有助于提高安全意識，并且培訓(xùn)開發(fā)人員按照OWASP Top 10的標(biāo)準(zhǔn)進行安全編碼實踐。通過解釋業(yè)務(wù)風(fēng)險并提供詳細(xì)的、前后關(guān)聯(lián)的補救建議，Seeker幫助Parkeon的測試和開發(fā)團隊提升安全意識，并進行持續(xù)的培訓(xùn)，從而提高了其代碼的安全性。

“Seeker交互式應(yīng)用安全測試工具解決了我們集成和自動化的需求。它為用戶提供培訓(xùn)和知識。Seeker是一套完美的工具，幫助我們提高安全實踐以構(gòu)建杰出的軟件。”

—Parkeon 公司管理業(yè)務(wù)服務(wù)部門首席信息安全官L. Porchon

總結(jié)

新思科技軟件質(zhì)量與安全部門的Seeker交互式應(yīng)用安全測試工具無縫集成到Parkeon公司的安全自動化流程，確保其開發(fā)和測試團隊能快速、安全并且合規(guī)地發(fā)布產(chǎn)品，同時提高生產(chǎn)力和安全意識。