【客户案例】为某知名车企构建应用代码审计平台

 应用程序安全是过程（Process）、实践（Practice）和工具（Tools）的组合动作，旨在在整个应用程序（Applications）生命周期中保护应用程序免受威胁。网络罪犯都有组织，而且非常专业，他们的目标就是找到和利用企业应用程序中的漏洞，以便窃取数据、知识产权和敏感信息。 

    应用程序安全可以帮助组织保护内部和外部利益相关人（包括客户、业务合作伙伴和员工）使用的各种应用程序（例如应用旧版本、桌面、Web、移动、微服务）。

为什么需要应用程序安全？

    经过多项研究验证，大多数严重危害的攻击都是瞄准应用程序层中存在的可利用漏洞，这表明企业 IT 部门需要对应用程序安全性保持更高的警惕。应用程序的数量和复杂性不断增长，让该问题变得更加复杂。十年前，软件安全性挑战在于保护桌面应用程序和静态网站，这些网站是相对无害且易于划定范围进行保护。现在，考虑到外包开发、历史遗留应用程序的数量以及利用第三方、开源和商业、现成的软件SDK组件的内部开发，软件供应链变得更加复杂。

    组织需要涵盖其所有应用程序的应用程序安全解决方案，其中包括内部使用的应用程序和客户手机上使用的热门外部应用。这些解决方案必须涵盖整个开发阶段，并在应用程序投入使用之后进行测试以监控潜在问题。应用程序安全解决方案必须能够测试 Web 应用程序是否存在可被利用的潜在漏洞，能够分析代码，通过协调工作和促成各利益相关者方之间的协作来帮助管理安全和开发管理流程。解决方案还必须提供易于使用和部署的应用程序安全性测试。

 

什么是 SAST？

    SAST是静态应用程序安全测试(Static Application Security Testing)的缩写，它是一种分析代码的测试过程，能够扫描和检测到程序内部的安全漏洞，进而确保应用的安全性。也正因为它能够分析应用程序的内部结构，因此有时它也被直接称为白盒测试。

静态应用安全测试对开发人员的优势：

• 识别和消除源、二进制或字节代码中的漏洞

• 通过建议、代码行导航来实时查看静态分析扫描结果，从而更快地发现漏洞并进行协作审核。

• 与集成式开发人员环境 (IDE) 完整集成

    作为中国SUV全球领导者，哈弗品牌已连续11年夺得中国SUV品牌销量冠军，全球累计销量已超650万辆；欧拉品牌逆势十连涨，全年销售56261辆，稳居新能源行业第一阵营；WEY品牌作为长城汽车品牌向上先锋军，成为首个累计达成40万辆的中国豪华SUV品牌；长城皮卡市占率近50%，连续23年夺得国内、出口销量第一，全球累计用户近190万。长城汽车多次入选“中国企业 500 强”、“中国机械 500 强”、“中国制造 500 强”，连续多年上榜 “福布斯亚太最佳上市公司”、 “福布斯 2000 强”、“《财富》中国 500 强”、“BrandZ 最具价值中国品牌 100 强”等。

    近年来，越来越多的车企开始自建APP，每一个车企玩家也都清楚一个优质的车企APP：上可连接车与用户：在C端体验中优化用户选车，购车，用车等各个环节。下可串联车与生态：在B端运营中嫁接新兴制造，零售，服务等各个要素。

    在数据安全法实施，个人隐私保护法即将推出的当下，众多的APP在带来灵动的客户体验同时，也亟需排查安全隐患，保障客户的数据隐私安全和企业数字价值资产。通过构建一套成熟完善的代码审计平台，协助长城汽车在应用体验上保持“专注、专业、专家”的企业理念。

    Gartner 2020年应用安全测试魔力象限报告再次将Micro Focus Fortify评为“领导者”，这已经是Fortify持续十一年获此殊荣。在此次评审中，Gartner审核了Micro Focus Fortify产品组合中的多款AST （应用程序安全测试）产品与服务，其中包括：Static Code Analyzer(SAST)、WebInspect(DAST)以及Application Defender。

    Fortify Static Code Analyzer可以快速构建安全的软件，整合到DevOps当中快速发现代码的安全问题和提供修复问题的建议。

通过集成式 SAST，安全编码

• 在 Eclipse 或 Visual Studio IDE 中使用 Security Assistant，利用开发人员的安全“拼写检查器”实时查找并修复安全漏洞。

• 游戏化培训可支持开发人员创建安全代码。

覆盖开发人员使用的语言

• 为超过 27 种主要语言及其框架提供精准的支持，并由业界领先的软件安全研究 (SSR) 团队提供灵活的更新支持。

• 覆盖众多的漏洞，包括 810 多个 SAST 漏洞分类，以确保符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等标准。

启动快速的自动化扫描

• 从 Fortify 平台或通过您的 IDE 和 CI/CD 管道在本地无缝启动扫描。

• 快速构建安全软件，借助用于扫描结果的集中管理存储库，获得有价值的见解。

• 软件安全中心 (SSC) 使组织能够自动实现应用程序安全程序的所有方面。

以 DevOps 速度修复问题

• 为特定开发人员的视图创建筛选器和问题模板。

• Audit Assistant 使用机器学习辅助的审核消除多达 90％ 的误报，从而减少了手动审核时间。

• Audit Workbench 可以进行丰富的分析和自动分类。

• 使用 SmartView 筛选器，以最有效的方式解决问题，这些筛选器从数据流的角度显示问题之间的关系。

在 CI/CD 中自动实现安全

• 通过 Swagger 支持的全套 REST API、GitHub 存储库、Bamboo、VSTS 和 Jenkins 插件以及与开源组件分析工具的集成，自动在 CI/CD 管道中实现安全性。

• Fortify SCA 通过脚本、插件和 GUI 工具适配现有的开发环境，因此开发人员可以轻松、快速启动并运行。

扩展 AppSec 程序

• ScanCentral 允许使用静态分析服务器场进行扩展，该服务器场可以动态扩展，满足 CI/CD 管道不断变化的需求。

• 通过灵活的部署进行扫描。Fortify SAST 可在本地作为服务使用，也在在混合模式下使用，以满足您的业务需求。您可以快速启动 AppSec 程序，并集中扩展该程序。

简单几步，完成代码审计报告

第一步：创建测试项目

第二步：进行代码测试配置

第三步：运行代码测试

 

第四步：查看代码测试结果

快速找出代码问题并修复

• 开发人员可通过脚本、插件和GUI工具进行集成，在自己喜欢的开发环境中，快速启动运行

• 审计工作台帮助开发人员分析各个漏洞，对其进行优先级排序和修复，并追踪修复情况

• 通过智能代码导航开发人员可以方便地调查、验证、注释和设置问题的严重程度

• Fortify安全研究团队统一了漏洞的组织分类对应到OWASP、SANS、CWE和FISMA等标准中，助开发人员了解导致安全漏洞的常见编码错误类型

专属技术支持一对一服务

    拥有软件测试行业丰富经验的技术专家,为您提供技术支持

7*24小时服务响应

    技术支持团队7*24小时响应,支持通过线上咨询、现场演示等方式随时解决问题

完善的技术知识体系

    拥有行业内最丰富和完善的知识库,最新官方工具操作手册、行业实施案例

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！