Synopsys Seeker交互式应用程序安全测试
需要分析 iot web 应用是否存在可能泄露敏感数据的漏洞?需要遵守 pci dss 或 gdpr 等法规,但又不中断您的持续集成和交付 (ci/cd) 工作流?如果是这样,您需要一个漏洞寻求者。
synopsys 的 seeker 交互式应用程序安全测试 (iast) 程序监控代码、数据流和内存,以识别敏感数据,并确保其不会存储在加密较弱或不存在的文件或数据库中。换句话说,该工具不仅可以发现漏洞,还可以确定是否可以利用它们。
通过自动化运行时测试,seeker 动态分析 http 流量;后端连接;以及开源、第三方和自定义应用程序代码,用于将误报与已识别的漏洞区分开来。它测试应用程序组件,包括:
c#,javascript,php,scala等语言。
平台和运行时,如java和.net
数据库,如nosql和sql
应用程序类型,如 json、restful、mobile、web api 等。
云平台,如azure,aws,google cloud等。
通过参数识别等功能,该工具会隔离未使用的参数等组件,并用恶意值填充它们,以确定代码是否可以用作攻击的后门。
敏感数据的风险以统一的实时视图呈现给测试人员,其中包含所有检测到的漏洞的技术解释。该工具进一步提供基于上下文的修复说明和示例代码修复,帮助减少团队调整设计中风险最大的部分所需的 devops 时间。
synopsys声称该解决方案“比传统的动态测试更准确”,还集成了black duck software的二进制分析,用于开源漏洞,版本控制和许可范围。
synopsys seeker iast 行动:
对于 ci/cd 和 devops 部署,seeker 的原生集成和 web api 允许将其添加到现有的构建服务器和测试工具中,无论应用程序是本地、基于云的还是容器化的。这允许在软件开发生命周期的 qa 和测试阶段实施该工具的运行时分析和检测技术,直到生产部署。
当用于发现导致敏感数据的攻击媒介时,测试人员首先标记信用卡信息、用户名和密码等数据,或者属于 pci 或 gdpr 等法规范围的任何数据。然后,在每个应用程序节点(例如容器、vm 和云实例)上部署导引头代理,这些节点跟踪应用程序执行的每个操作。这些代理由自动生成的 url 映射实用程序提供支持,该实用程序生成一个包含测试覆盖率计划。
然后,代理执行逐行分析,检查代码、敏感数据和数十万个 http(s) 请求之间的交互,这些请求提供了应用程序组件的全面覆盖。http请求监控有助于将误报与真实漏洞隔离开来,synopsys表示,与替代进程的平均误报率20%相比,误报率降低到5%以下。
seeker 的测试结果显示在一个全面的仪表板中,该仪表板提供针对 owasp 前 10 名、pci dss、gdpr 和 cwe/sans 前 25 名的合规性分数或评级。当应用程序面临暴露敏感信息的风险时,仪表板还会显示警报。
导引头也提供不显眼的被动监控版本
某电子科技公司安全用电管理云平台的设计以及应用
pt4115典型应用电路图汇总(调光电路/驱动电路)
谁决定了挠性环氧覆铜板的竞争力
儿童对机器人的感受是怎样的?
贴片元件的手工焊接步骤
Synopsys Seeker交互式应用程序安全测试
夏普走向衰落背后又有哪些深层次的原因呢?
特斯拉电动汽车电池热管理系统解析
OPPO 旗下Realme计划以独立品牌运营
快讯:亚马逊回应封禁中国卖家账号 中国联通回应携号转网困难
山东潍柴发布全球首款突破50%热效率的柴油机,正在量产中
VR全景技术在变电检修中的应用
FPC的结构及材料知识
通过高精度AFE优化电池测量和电池组监测
Modbus转MQTT网关简介
ECG前端设计通过微型转换器简化
斐讯k2路由器上网设置图文教程
颜水加入依图科技,开启 AI 商业化新征程
中国服务机器人的发展之路在哪里?
安卓系统暴露短板 鸿蒙系统将可能全面爆发
synopsys 的 seeker 交互式应用程序安全测试 (iast) 程序监控代码、数据流和内存,以识别敏感数据,并确保其不会存储在加密较弱或不存在的文件或数据库中。换句话说,该工具不仅可以发现漏洞,还可以确定是否可以利用它们。
通过自动化运行时测试,seeker 动态分析 http 流量;后端连接;以及开源、第三方和自定义应用程序代码,用于将误报与已识别的漏洞区分开来。它测试应用程序组件,包括:
c#,javascript,php,scala等语言。
平台和运行时,如java和.net
数据库,如nosql和sql
应用程序类型,如 json、restful、mobile、web api 等。
云平台,如azure,aws,google cloud等。
通过参数识别等功能,该工具会隔离未使用的参数等组件,并用恶意值填充它们,以确定代码是否可以用作攻击的后门。
敏感数据的风险以统一的实时视图呈现给测试人员,其中包含所有检测到的漏洞的技术解释。该工具进一步提供基于上下文的修复说明和示例代码修复,帮助减少团队调整设计中风险最大的部分所需的 devops 时间。
synopsys声称该解决方案“比传统的动态测试更准确”,还集成了black duck software的二进制分析,用于开源漏洞,版本控制和许可范围。
synopsys seeker iast 行动:
对于 ci/cd 和 devops 部署,seeker 的原生集成和 web api 允许将其添加到现有的构建服务器和测试工具中,无论应用程序是本地、基于云的还是容器化的。这允许在软件开发生命周期的 qa 和测试阶段实施该工具的运行时分析和检测技术,直到生产部署。
当用于发现导致敏感数据的攻击媒介时,测试人员首先标记信用卡信息、用户名和密码等数据,或者属于 pci 或 gdpr 等法规范围的任何数据。然后,在每个应用程序节点(例如容器、vm 和云实例)上部署导引头代理,这些节点跟踪应用程序执行的每个操作。这些代理由自动生成的 url 映射实用程序提供支持,该实用程序生成一个包含测试覆盖率计划。
然后,代理执行逐行分析,检查代码、敏感数据和数十万个 http(s) 请求之间的交互,这些请求提供了应用程序组件的全面覆盖。http请求监控有助于将误报与真实漏洞隔离开来,synopsys表示,与替代进程的平均误报率20%相比,误报率降低到5%以下。
seeker 的测试结果显示在一个全面的仪表板中,该仪表板提供针对 owasp 前 10 名、pci dss、gdpr 和 cwe/sans 前 25 名的合规性分数或评级。当应用程序面临暴露敏感信息的风险时,仪表板还会显示警报。
导引头也提供不显眼的被动监控版本
某电子科技公司安全用电管理云平台的设计以及应用
pt4115典型应用电路图汇总(调光电路/驱动电路)
谁决定了挠性环氧覆铜板的竞争力
儿童对机器人的感受是怎样的?
贴片元件的手工焊接步骤
Synopsys Seeker交互式应用程序安全测试
夏普走向衰落背后又有哪些深层次的原因呢?
特斯拉电动汽车电池热管理系统解析
OPPO 旗下Realme计划以独立品牌运营
快讯:亚马逊回应封禁中国卖家账号 中国联通回应携号转网困难
山东潍柴发布全球首款突破50%热效率的柴油机,正在量产中
VR全景技术在变电检修中的应用
FPC的结构及材料知识
通过高精度AFE优化电池测量和电池组监测
Modbus转MQTT网关简介
ECG前端设计通过微型转换器简化
斐讯k2路由器上网设置图文教程
颜水加入依图科技,开启 AI 商业化新征程
中国服务机器人的发展之路在哪里?
安卓系统暴露短板 鸿蒙系统将可能全面爆发