美国新思科技公司发布的Seeker是目前唯一能够检测并自动验证是否有可被利用漏洞的应用安全解决方案,为开发人员提供实时准确、可操作的信息。同时Seeker也是唯一提供敏感数据跟踪的交互式应用安全测试(IAST)解决方案,有助于达到行业标准及符合法规,包括支付卡行业数据安全标准(PCI DSS)和《通用数据保护条例》(GDPR)等。Seeker开箱即用,易于部署,支持大规模、基于云和微服务的应用程序架构。
法国Parkeon公司通过采用Seeker,测试和开发团队之间的沟通得到改善,并且在安全测试方面花费的时间有所减少,从而提高其安全实践以构建优质的软件,公司的支付安全性得到有效保障。
-
Seeker交互式应用安全测试工具确保整个系统端到端遵守每个版本的安全标准。Seeker关注数据,提供关键数据要求的测试,例如PCI DSS(支付卡行业数据安全标准)第6节中定义的要求。
-
Seeker促进测试和开发团队之间的沟通。每个漏洞都会自动链接到违规源代码,并提供相关的补救建议。
-
Seeker提升了安全编码实践的意识和增强了培训。Seeker引导开发人员如何在自己的代码中修复问题,方便他们学习安全的编码实践。
业务概况及挑战
法国Parkeon公司是城市交通领域的佼佼者,也是停车和运输管理解决方案的全球供应商。 Parkeon在全球55个国家的3,000多个城市提供独特的停车控制和支付服务。
Parkeon开发适用于所有销售渠道的实时支付系统 ,包括信用卡和借记卡、手机帐户、预付卡、电子钱包以及接触/非接触式卡技术。这些解决方案部署在Parkeon自己的POS终端上,例如路边停车收费表或“凭票停车”以及 “pay-on-foot自助机”停车场。
随着电子商务和远程(POS)安全漏洞频发,Parkeon将应用程序的安全性提到最高水平,无论部署的地理位置在哪。
Parkeon的IT部门选择了新思科技软件质量与安全部门的交互式应用安全测试(IAST)工具Seeker,以验证其主要电子票务和交易产品ArchiPEL的端到端安全性和PCI(支付卡行业)合规性。Parkeon之所以选择Seeker,是因为它具有精确的漏洞检测能力、PCI合规性检测功能、可集成到开发流程集成,而且即使是没有安全专业知识的开发人员和测试人员也可以轻松应用Seeker。
“我们选择了Seeker交互式应用安全测试工具,因为测试人员和开发人员不需要投入时间或拥有专业知识来定期执行安全任务。Seeker提供漏洞与受影响源代码之间的关联,从而节省开发人员的工作量。”
— Parkeon 公司管理业务服务部门首席信息安全官L. Porchon
解决方案评估
Parkeon构建完整的支付解决方案,帮助客户集中电子支付流程。这两项活动都要求整体解决方案架构符合行业中的标准和规范,例如PCI DSS。
Parkeon一直在使用动态应用安全测试(DAST)工具来验证其集成环境中应用程序的安全性,但该解决方案并没有完全符合他们的要求。
该应用程序采用敏捷开发方法开发,每季度更新五次。Parkeon需要一种工具,将安全验证集成到现有的自动化流程中,并且非安全专家的开发人员和测试人员可以轻松操作。
部署及裨益
部署了新思科技软件质量与安全部门的Seeker交互式应用安全测试工具,Parkeon公司获得以下三大裨益:
首先,Seeker了解并验证数据如何流经应用程序,确保整个系统端到端符合PCI DSS等安全标准。它还能识别与敏感数据影响相关的漏洞。
Seeker提供的测试有助于满足PCI DSS第6节的要求。通过支付链的各个组件自动跟踪关键数据(如信用卡信息),Seeker可以验证是否存在漏洞,例如遗忘的调试数据、不安全的操作、不安全的存储,甚至是暂时存在于文件或数据库中,向第三方进行不安全传播等潜在危险。通过Seeker,Parkeon可以自动确保整个系统符合每个版本的安全标准。
其次,Seeker通过将漏洞定位至源代码库中,促进测试和开发团队之间的沟通。其它动态测试工具只是通过违规URL报告漏洞。Seeker与此不同,它可以自动将漏洞与代码库联系起来,以确定哪里必须要进行修复。它将误报减少至接近于零,精准定位易受攻击的源代码,并为开发人员提供面向测试应用程序量身定制的明确的补救建议。
-
开发人员将时间专注于经过验证的漏洞以及Seeker所建议的源代码更正上。
-
测试人员清楚地了解应用程序与OWASP Top10标准以及Parkeon公司安全标准相关的风险状况。
第三,Seeker有助于提高安全意识,并且培训开发人员按照OWASP Top 10的标准进行安全编码实践。通过解释业务风险并提供详细的、前后关联的补救建议,Seeker帮助Parkeon的测试和开发团队提升安全意识,并进行持续的培训,从而提高了其代码的安全性。
“Seeker交互式应用安全测试工具解决了我们集成和自动化的需求。它为用户提供培训和知识。Seeker是一套完美的工具,帮助我们提高安全实践以构建杰出的软件。”
— Parkeon 公司管理业务服务部门首席信息安全官L. Porchon
总结
新思科技软件质量与安全部门的Seeker交互式应用安全测试工具无缝集成到Parkeon公司的安全自动化流程,确保其开发和测试团队能快速、安全并且合规地发布产品,同时提高生产力和安全意识。