缺少体系化支撑
开发安全工作涉及技术工具、流程、协作等多个方面,工作碎片化严重,安全人员缺少体系化支撑,开发安全工作难推进落地。
缺少安全需求设计
应用开发安全的建设需要涵盖应用安全的各个方面,包括漏洞问题、身份问题、数据问题等,缺乏安全需求体系化设计,安全人员疲于奔命式解决问题。
缺乏开发安全人才
企业缺乏安全开发专家,培养招聘成本高,无法有效支持安全开发工作的开展,业务推动进展缓慢。
中文
< >
- 业务痛点
- 平台介绍
- aSecPaaS介绍
- AST工具介绍
- 核心优势
- 应用场景
- 相关案例
业务痛点
平台介绍
深信服数字应用安全平台面向各行业数字化转型过程中的各类数字化应用,提供全生命周期的内建安全保护,覆盖应用的开发过程、承载环境及运行过程。平台提供一站式应用安全检测工具链AST,帮助用户快速洞察应用安全风险,平台通过aSecPaaS提供丰富的安全“生产资料”,通过安全左移的方式,实现在数字化应用开发构建阶段的默认安全加固,进而实现“上线即安全”。通过以下关键创新帮助用户真正实现安全与应用的同步规划、同步构建,实现应用内建安全,从源头上提高数字化应用的整体安全水平。
aSecPaaS介绍
为用户提供丰富的安全能力aSecPaaS,针对移动APP、WEB应用、小程序等多种应用模式,覆盖缺陷修复、数据安全、移动应用安全等多场景,在开发编码过程中勾选集成相应的安全SDK能力,快速实现应用安全需求的高效落地,大幅降低安全开发的人力投入成本。
应用自免疫系统
通过内嵌于应用的SDK和Agent,可以实现应用内部逻辑、参数执行、命令执行的可视,结合污点跟踪算法可以防止漏洞利用。通过将防护能力自身注入到应用程序中,与应用程序融为一体,实现应用自我实时监测、阻断攻击,实现自保护的能力。因技术原理上的可见性优势,可以有效避免0Day、攻击绕过等高阶攻击手法。
病毒抗体
针对应用中有文件上传的业务功能模块,通过调用病毒检测API,可对上传的文件进行病毒查杀、WebShell查杀,避免上传的文件存在恶意代码,导致上次后文件在下载时感染用户。
认证增强系统
"通过API方式,为应用提供用户账号登录多因素认证、鉴权、权限管控能力,满足等保合规相关要求,应用开发者只需要调用对应API即可完成账号体系的搭建,并且账号体系内的安全问题均由组件保障。
AST工具介绍
提供一站式的代码安全检测工具链,包括SAST/DAST/SCA/IAST等,实现开发过程中的风险识别,通过VPT漏洞赋值机制,降低对专业开发安全人才的依赖,让各行各业享受普惠的数字安全价值。
SAST (静态应用程序安全测试)
SAST对应用程序源代码执行直接的白盒分析,通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。
IAST (交互式应用程序安全测试)
IAST通过在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。
SCA (软件成分分析)
SCA是一种对二进制软件的组成部分进行识别、分析和追踪的技术。专门用于分析开发人员使用的各种源码、模块、框架和库,以识别和清点开源软件(0 SS)的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题。
核心优势
强效果
通过应用缺陷运营、需求落地运营等维度,大幅度提高应用安全水平,关键模块设计性风险识别率提升60%,常规安全漏洞识别率上升到80%,实现安全左移。
易落地
基于安全需求全流程管理和默认安全的aSecPaaS能力,帮助开发快速高效落地开发安全的工作,大幅减少开发安全工作和需求跟进工作,安全落地更轻松。
可生长
在漏洞闭环基础上,提供多达20多种安全PaaS能力,能力持续叠加,覆盖全场景需求,不断沉淀企业自身沉淀企业自身开发安全组织能力。
应用场景
应用软件安全检测场景
用户要求提供软件应用安全检测报告及软件应用SBOM,而应用软件代码安全检测告警多,误报高,开发人员难以分析修复。
一、多引擎扫描工具箱:集成SAST/SCA/DAST/SCA等能力,多引擎关联分析,MPV漏洞优先级排序,一键输出应用安全检测报告;
二、在线代码安全咨询:人机共智,精准研判,减少误判,给出有效代码修复措施。
应用安全一站式加固场景
多方监管力度加强,漏洞通报问题频发;专业安全开发人员不足,漏洞问题修复费时费力,老版本软件漏洞问题无法修复,影响公司品牌形象。
一、应用漏洞防通报SDK:一次性解决应用漏洞问题,可防止漏洞扫描工具的检测扫描,避免通报;
二、应用漏洞热修复SDK:快速修复漏洞,快速解决供应链安全问题。
应用数据安全保护场景
基于《数据安全法》等合规要求,应用运营者担心应用数据泄露影响用户,且对外应用数据容易被灰黑产爬虫爬取;敏感个人数据未脱敏、未加密,导致个人数据泄露。
一、应用数据安全SDK:加密脱敏能力保障应用数据安全,提高应用竞争力和品牌信任度;
二、个人隐私风险检测:快速发现个人隐私保护问题,大幅降低个人隐私数据合规风险。
相关案例
某股份制银行总行
一、用户简介
某股份制银行有较多的对外应用,包括Web、移动APP、小程序等类型,过往不同业务部门负责不同业务开发对接,不同团队对应用数据安全合规认知不统一,能力不一致,存在大量对齐问题,同时安全团队受限于条件,只能对应用“结果”做一些管控,对应用安全情况了解比较落后,无法较好跟进业务的推进。
二、用户需求
1、根据行业监管需求和业务数据保护安全需求,梳理不同应用相应安全需求,讲安全需求开发成安全aSecPaaS能力,通过应用开发流程的集成对接,实现安全需求左移和自动化交付,避免重复开发。
2、提供各种应用形式数据安全合规自动化检测工具,对应用上线前进行合规检测和管控,确保应用上线的安全。
三、解决方案
采用开发安全咨询和数据安全咨询服务,帮助合规部门和安全部门梳理数据安全相关需求及落地措施,提供深信服数字应用安全平台的各种应用安全和数据安全SDK,应用数据合规自行化检测工具集,帮助银行开发团队快速标准化落地安全需求。
某政务应用开发商
一、用户简介
某政务应用开发商专注于智慧城市中的智慧招采、智慧政务、数字建筑等领域,为政府部门及相关行业提供以软件为核心的智慧化整体解决方案。
二、用户需求
1、降低老版本安全维护难度
项目交付多为定制化交付,保有客户在使用老旧版本的产品时,经常会收到政务云检测部门的漏洞提醒,增加了公司对于老旧版本产品的安全运维投入。
2、降低安全防护代码改造量
公司期望对所有产品线进行安全基线要求,但产品线繁多,给“安全部门”带来了很大的开发投入,此外,由于代码深度耦合,原产品的开发进度同样受到影响。
三、解决方案
采用深信服BOT-SDK集成于老版本应用中,有效防护漏洞扫描问题,解决漏洞通报问题,ISV可以避免被通报的问题;同时,将安全需求转换开发成相应SDK,并在新版本的应用中集成了安全能力基线相关SDK,不仅提高了应用安全性,还极大节约了安全成本。
