雳鉴IAST交互式应用安全检测系统-
某物联网公司
背景介绍
该上市公司是一家专注于健康饮食电器研发、生产和销售的物联网企业。
公司技术架构比较简单,含研发部门、网络部门,研发部门主要是面向公司小家电的嵌入式、智能化软件开发工作。网络部门含安全团队,安全团队负责公司内部的整体网络安全建设项目,包括开发安全这块。
2018年5月,公司发起项目需求,要将研发过程的安全规范做起来。我们了解到在这么大的一家上市企业里,研发团队在测试开发的安全检查中是没有任何规范的技术手段和流程去保证项目的安全性的,包括 渗透测试 这样的基础服务都没有做过。
4.1.2需求分析
物联网时代小家电业务与日俱增
随着时代的变革,小家电已经成为物联网时代的家电独角兽,成为人们生活中的一部分,小家电也越来越智能。该公司作为国内主流品牌,业务量与日俱增。小家电的安全工作并不像企业网络、门户网站等关键基础设施的如此大,更多的是在安全开发过程中去解决,就能规避绝大多数的安全隐患。因此软件开发安全作为物联网企业最重要环节之一,也是开发过程的安全规范中重点工作。
缺乏安全测试流程和规范
研发团队在业务自查中存在规范的安全测试及验证流程,但仅靠安全人员的参与在落地中存在一定的困难。需要一套流程化的平台帮助研发去规范安全测试环境,提高安全测试的效率,减轻研发和安全团队的工作压力。
查出安全问题
安全部门更希望通过一套机制能在开发过程中查出安全漏洞和一些安全问题,杜绝业务带病上线。之前没有任何流程和工具来提供有效的保证。
4.1.3项目概述
应用场景:研发部门业务自查(智能化软件)
采购数量:1套IAST
使用部门:研发部门、网络部门
4.1.4 解决方案
通过IAST在开发测试环节中建立安全测试环节,取代了人工渗透环节,帮助该公司在开发过程中快速发现漏洞、查出安全问题,做到漏洞0误报,降低了安全技术的门槛,做到软件安全真正自主可控。
建立了一套研发过程的安全规范,有效的在工作环节形成安全闭环,满足了研发团队业务安全自查需求,达到该公司真实业务需要。
技术支持快速响应,在安全测试环节,技术团队的安全服务非常到位,出现问题第一时间响应,得到开发部门及安全部门的认可。
某电力科技公司
4.2.1背景介绍
该电力科技公司是一家面向电力系统提供专业的电力行业 信息化 及通信应用解决方案、产品和服务的综合企业。公司服务行业涵盖电网、电厂、金融等多个行业。
公司含研发体系含2大事业部,GP事业部和EC事业部下面分别又有研发部门,例:GP事业部下面有5个研发部门,每个部门100人左右。
如此规模的研发团队里,之前在测试开发的安全检查过程中是没有任何规范的技术手段和流程去保证项目的安全性的。只有员工私自用了Appscan,但因为非官方,也没有花钱,在检测结果上没有什么效果。
4.2.2需求分析
交付项目安全要求高
该电力科技公司的项目主要面向电力类能源行业,这几年业务猛增,由于能源属于国家关键信息基础设施之一,这些上线的业务一旦发生网络安全事件,会直接影响行业的正常运行,对国家经济、社会等造成严重损失。信息安全在能源行业的监管和合规要求上,非常高。软件开发安全是信息安全的重要环节之一,也是业务上线前必要的一环,该企业面临的安全责任也与日俱增。
缺乏安全测试工具和规范
研发团队存在大量的安全测试及验证需求,但安全技术的要求门槛高,以往在开发工作和教育体系缺乏在开发安全方面的知识,导致安全在开发环节存在一定的困难,需要一套流程化的工具能降低安全测试的门槛,有效帮助研发团队自主的落地安全测试工作,减轻开发人员的工作压力。
查出安全问题
安全部门更希望通过一套机制能在开发过程中查出安全漏洞和一些安全问题,杜绝业务带病上线。之前没有任何流程和工具来提供有效的保证。
4.2.3项目概述
应用场景:研发部门业务自查
采购数量:2套IAST
使用部门:GP事业部和EC事业部
4.3.4解决方案
通过IAST在开发测试环节中建立安全测试环节,有效的在工作环节形成安全闭环,满足了研发团队自主安全测试需求,降低安全技术规范的合规门槛,得到开发部门及安全部门的认可。
降低了安全测试的难度,通过IAST就能快速的发现漏洞、定位安全风险,细化了安全部和各研发团队的安全分工,节约了人力成本和沟通成本,提高了工作效率。
实现了安全测试的广泛度,实测漏洞0误报及安全风险的可视化,实际解决了很多安全问题,获得了客户的一致认可。
