—Parkeon 公司管理業(yè)務(wù)服務(wù)部門首席信息安全官L. Porchon

解決方案評(píng)估

Parkeon構(gòu)建完整的支付解決方案，幫助客戶集中電子支付流程。這兩項(xiàng)活動(dòng)都要求整體解決方案架構(gòu)符合行業(yè)中的標(biāo)準(zhǔn)和規(guī)范，例如PCI DSS。

Parkeon一直在使用動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）工具來(lái)驗(yàn)證其集成環(huán)境中應(yīng)用程序的安全性，但該解決方案并沒有完全符合他們的要求。

該應(yīng)用程序采用敏捷開發(fā)方法開發(fā)，每季度更新五次。Parkeon需要一種工具，將安全驗(yàn)證集成到現(xiàn)有的自動(dòng)化流程中，并且非安全專家的開發(fā)人員和測(cè)試人員可以輕松操作。

部署及裨益

部署了新思科技軟件質(zhì)量與安全部門的Seeker交互式應(yīng)用安全測(cè)試工具，Parkeon公司獲得以下三大裨益：

首先，Seeker了解并驗(yàn)證數(shù)據(jù)如何流經(jīng)應(yīng)用程序，確保整個(gè)系統(tǒng)端到端符合PCI DSS等安全標(biāo)準(zhǔn)。它還能識(shí)別與敏感數(shù)據(jù)影響相關(guān)的漏洞。

Seeker提供的測(cè)試有助于滿足PCI DSS第6節(jié)的要求。通過支付鏈的各個(gè)組件自動(dòng)跟蹤關(guān)鍵數(shù)據(jù)（如信用卡信息），Seeker可以驗(yàn)證是否存在漏洞，例如遺忘的調(diào)試數(shù)據(jù)、不安全的操作、不安全的存儲(chǔ)，甚至是暫時(shí)存在于文件或數(shù)據(jù)庫(kù)中，向第三方進(jìn)行不安全傳播等潛在危險(xiǎn)。通過Seeker，Parkeon可以自動(dòng)確保整個(gè)系統(tǒng)符合每個(gè)版本的安全標(biāo)準(zhǔn)。

其次，Seeker通過將漏洞定位至源代碼庫(kù)中，促進(jìn)測(cè)試和開發(fā)團(tuán)隊(duì)之間的溝通。其它動(dòng)態(tài)測(cè)試工具只是通過違規(guī)URL報(bào)告漏洞。Seeker與此不同，它可以自動(dòng)將漏洞與代碼庫(kù)聯(lián)系起來(lái)，以確定哪里必須要進(jìn)行修復(fù)。它將誤報(bào)減少至接近于零，精準(zhǔn)定位易受攻擊的源代碼，并為開發(fā)人員提供面向測(cè)試應(yīng)用程序量身定制的明確的補(bǔ)救建議。

通過采用Seeker，Parkeon提高了安全性，減少了在安全測(cè)試方面花費(fèi)的時(shí)間，并且改善了安全和研發(fā)團(tuán)隊(duì)之間的溝通效率：

• 開發(fā)人員將時(shí)間專注于經(jīng)過驗(yàn)證的漏洞以及Seeker所建議的源代碼更正上。
• 測(cè)試人員清楚地了解應(yīng)用程序與OWASP Top10標(biāo)準(zhǔn)以及Parkeon公司安全標(biāo)準(zhǔn)相關(guān)的風(fēng)險(xiǎn)狀況。

第三，Seeker有助于提高安全意識(shí)，并且培訓(xùn)開發(fā)人員按照OWASP Top 10的標(biāo)準(zhǔn)進(jìn)行安全編碼實(shí)踐。通過解釋業(yè)務(wù)風(fēng)險(xiǎn)并提供詳細(xì)的、前后關(guān)聯(lián)的補(bǔ)救建議，Seeker幫助Parkeon的測(cè)試和開發(fā)團(tuán)隊(duì)提升安全意識(shí)，并進(jìn)行持續(xù)的培訓(xùn)，從而提高了其代碼的安全性。

“Seeker交互式應(yīng)用安全測(cè)試工具解決了我們集成和自動(dòng)化的需求。它為用戶提供培訓(xùn)和知識(shí)。Seeker是一套完美的工具，幫助我們提高安全實(shí)踐以構(gòu)建杰出的軟件?！?/strong>