添加客服微信
400 035 7887
021-60725088-8054
1. 动态分析
对于没有真正安全开发生命周期的公司,动态应用程序安全测试工具是一个很好的起点。应用程序安全测试工具扫描正在运行的应用程序是否存在漏洞,重点是审查Web应用程序。
启动一项通过动态分析更好地保护软件的计划可以帮助让开发人员相信该技术是有用的。由于几乎所有使用动态扫描发现的问题都可以在一定程度上被利用,因此该技术需要的安全知识更少,并且可以更快速地部署,无论是作为服务还是本地部署。
2. 整合
采用任何技术的一个关键考虑因素是它是否适合您的开发环境。开发人员不会改变他们的编码语言来匹配首选的应用程序安全测试工具,因此安全经理需要评估他们的开发人员使用的环境。找到能够很好地集成到开发人员流程中的安全测试产品很重要。
3. 试用新技术
应用程序安全测试仍然是一个动态的领域。这些技术每年都在改进和变化,因此安全团队应该试验新工具,看看它们是否更适合特定的开发环境。
例如,对于已经拥有动态 AST 的安全团队来说,试行静态或交互式应用程序安全测试是一个很好的下一步。正确的工具不仅取决于开发中使用的语言和平台,还取决于公司的整体开发理念以及已经部署的工具。
静态分析工具是向开发人员提供有关常见漏洞类别的即时反馈的好方法。动态分析工具通常误报率低,非常适合测试在线应用程序和服务。一种相当新的技术,交互式分析,对应用程序进行了检测,以允许收集运行时数据以供以后分析。
4. 将漏洞数据转化为可操作的信息需要时间
公司应该意识到实施 AST 需要时间,用于部署和处理分析。AST,尤其是静态分析,可以生成大量关于代码中可能存在的缺陷的数据。为了获得结果,系统必须随着时间的推移进行定制或调整,以满足公司的适当平衡。
多种工具可以增加更好的保真度,但代价是使漏洞分类可能更加复杂。“如果每个工具都有贡献,那么运行多个工具的缺点是你有更多的数据要筛选,而这些数据不一定是高质量的。
推荐阅读:
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系SPASVO小编(021-60725088-8054),我们将立即处理,马上删除。