深信服数字应用安全平台DASP_代码安全检测工具

申请试用

深信服数字应用安全平台DASP

深信服数字应用安全平台aSecPaaS，针对多种应用模式，覆盖缺陷修复、数据安全、移动应用安全等多场景，在开发编码过程中勾选集成相应的安全SDK能力即可实现应用安全需求。

立即咨询

首页 > 产品中心 > 应用安全 > 深信服数字应用安全平台DASP

应用数据安全要求落地难？ icon

随着数据安全法、隐私合规等法律法规要求落地，数据安全成为应用业务安全的重要关注风险。应用是数据的载体，应用风险源点在研发阶段，是否可以通过开发安全的措施实现应用内生数据安全？实现数据安全在源头上的保护，并且持续满足各类合规要求？

应用数据资产难识别、难管理
应用中运行大量数据资产，应用出口繁多，传统数据安全措施难以全面精准识别应用和数据安全资产。

数据安全管控盲点多、难落地
传统数据安全建设通过网络、端点等运维阶段安全措施进行管控，在云原生环境及应用形态场景，无法有效管控。

合规要求满足成本高
合规要求越来越细化，应用迭代越来越敏捷，外挂式的数据安全建设成本高昂，对业务影响大，落地效果差。

应用身份安全场景化很繁琐很重 icon

国内的很多企业组织对于身份安全管理存在一个“很重很繁琐”的偏见，因为企业组织复杂，需要解决很多场景化的问题，困难重重。如何把身份认证变得更敏捷是企业用户的迫切需求，在应用开发阶段实现应用身份安全是最优解。

使用体验差
应用之间身份体系割裂，企业单位内部多套身份体系，使用体验差。

建设成本高
每个应用都建设开发身份模块，重复投入，造成投资浪费。

可扩展性差
传统身份管理体系可扩展性差，功能固化、无法匹配应用业务变化带来挑战。

安全性低
无法灵活管理各类角色安全策略，很多沉默帐号给系统安全带来风险。

深信服20年开发安全实践经验总结 icon

多数开发安全建设只是安全检测左移，通过强流程管控保障落地。过去开发安全的做的是应用安全问题检测的左移，从应用上线后变成应用上线前，从应用上线前检测转变成开发编码阶段做安全检测，发现应用软件漏洞问题。

安全开发新范式：平台化、PaaS化、服务化 icon

深信服开发安全方案总体架构 icon

开发安全建设实践流程 icon

开发安全活动落地集成介绍 icon

对接已有开发流程平台，实现自动化卡点检测。通过API接口、脚本、专用插件等方式对接现有开发平台/流程，在各个关键节点设立触发卡点，一次对接即可实现全工具的自动化卡点检测，快速便捷。对接方式：1、任务下发类：提供API接口、脚本、插件对接IDE、流水线等，触发各类任务2、数据读取类：配置代码仓库、制品库、测试环境/生产环境业务访问地址和账号密码3、数据上报类：提供API接口，上报开发安全数据到各类管理平台

开发安全需求管理--需求初始化活动 icon

在应用研发的需求阶段、架构设计阶段进行安全需求梳理、场景化威胁建模，提前识别和规避安全风险，加入版本开发过程中，安全左移至最前端。DASP平台需求库+专家服务，为用户建立专属应用开发安全需求库。

1.法律法规中应用安全要求
基于等保、个人信息保护发、GB 40050-2021、行业标准等梳理应用的安全需求

2. 行业最佳实践
OWASP、CIS、微软应用安全最佳实践、深信服应用安全最佳实践、软件供应链安全国标等行业最佳实践中提取应用安全需求

3.内部业务安全需求
内部用户业务上的安全需求（如：双因素要求、关闭http、反爬虫、友商有的安全特性等）

4.场景化应用威胁建模
通过分析应用使用场景，结合场景化威胁分析，梳理出安全威胁，同时自动化转化成安全需求。

安全需求样例

安全需求管理流程

安全需求管理--示例 icon

深信服aSecPaaS开发安全能力 icon

aSecPaaS，针对多种应用模式，覆盖缺陷修复、数据安全、移动应用安全等多场景，在开发编码过程中勾选集成相应的安全SDK能力即可实现应用安全需求。

开发安全加固活动-IAP icon

属于一种新型应用安全保护技术，它将防护功能“注入”到应用程序中，与应用程序融为一体，通过Hook少量关键函数,来实时观测程序运行期间的内部情况。当应用出现可疑行为时，IAP根据当前上下文环境精准识别攻击事件，并给予实时阻断，使应用程序具备自我防护能力，而不需要进行人工干预。优势价值，轻端重云：轻端重云架构，实现端点资源低消耗 CPU占用<3% 内存占用< 100MB，检测逻辑耗时<5ms。部署简单：支持编译阶段部署和运行时部署，不停机安装/卸载，熔断逃生机制，降低运维成本和业务方推行压力。高效防御：可通过扫描规则集配置、自定义规则、安全函数（白名单）设置及多引擎综合比对等多种方式降低误报。

应用漏洞热修复

混源开发已成为现代数字应用主要开发方式，应考虑开源组件缺陷及后门、自研代码漏洞等维度，当出现重大漏洞短时间难以修复的状况时，可以动态下发热补丁实现应用漏洞热修复。

检测有效攻击

大量无效攻击流量，产生大量告警，安全团队疲于奔命，IAP技术直接检测应用函数，能有效屏蔽无效攻击流量，精准发现针对应用有效攻击。

部署方式

agent可以在编译阶段植入应用，也可以在业务运行时加载插装；controller、mgr可以在运行是部署在虚拟机即可。

开发安全加固活动-移动App加固 icon

移动App加固分别从代码安全、资源文件安全、数据安全和运行时环境安全维度提供安全保护。同时针对每个维度又进行了不同层次的划分，加固策略可依据实际场景进行定制化调配，安全和性能达到平衡。

开发安全加固活动-应用数据安全加固 icon

根据业务中安全要求，开发阶段调用SDK对指定数据进行加密、脱敏和增加水印，及时保障数据保密性

开发安全加固活动-应用身份安全加固 icon

开放 API，兼容 OAuth 2.0, SAML, AD/LDAP 等主流认证 / 授权协议，满足身份认证、用户管理和认证加强相关安全要求

安全开发测试流程

开发安全测试活动-SAST工具 icon

SAST对应用程序源代码执行直接的白盒分析，在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。优势价值，适用范围广：支持Java/Jsp、C/C++、C#/ASP.NET、Python、PHP、等20+种主流语言，支持多种二进制包检测。支持IDE集成：支持各种常见的IDE集成开发环境，程序员可通过插件从IDE中直接发起源代码安全检测，方便快捷。误报率较低：可通过扫描规则集配置、自定义规则、安全函数（白名单）设置及多引擎综合比对等多种方式降低误报。

研发安全部门

对自研的软件系统，借助专用IDE插件对源代码进行检测，确保软件编码的代码符合安全编码规范/标准，保障研发的软件产品安全性。

运维安全部门

负责整体应用业务安全，包括自研项目和外包采购项目。通过DASP-SAST对项目的源代码进行全面的安全检测审计，保障应用上线前安全，减少应用上线后安全问题和工作难度。

代码检测方式

支持源代码包检测、二级制安装包检测、对接源码仓库检测等检测方式。

开发安全测试活动-DAST工具 icon

DAST对应用程序进行黑盒分析，它模拟黑客行为对应用程序进行动态攻击，这意味着它们不能访问代码或应用内部交付细节，DAST只检查系统对潜在漏洞测试的请求和响应。优势价值，漏洞扫描能力强：远程漏洞插件230000+，业内领先，支持丰富的0day漏洞模板，方便快速排查紧急漏洞。资产深度识别：可检测包含网络设备、安全设备、移动设备、虚拟设备、操作系统、应用系统，数据库、物联网设备多种对象，种类全面。合规安全检测：支持等保二级三级要求检测业务系统的合规情况，快速定位差距项和高风险项，提供清晰的整改指引，实现安全合规自检。

检测方式：

检测对象：运行时的应用

需DAST与被检测对象网络可达，可通信。

需提供扫描对象IP或者域名等信息。

核心需求：

系统上线前/等保合规的安全自查

全面的自动化检查工具，降低采购和人工成本

开发安全测试活动-SCA工具 icon

SCA是一种对二进制软件的组成部分进行识别、分析和追踪的技术。专门用于分析开发人员使用的各种源码、模块、框架和库，以识别和清点开源软件(OSS)的组件及其构成和依赖关系，并识别已知的安全漏洞或者潜在的许可证授权问题。

研发安全部门/安全部门

自研的软件系统，安全团队对软件中第三方开源组件的安全情况和合规情况进行安全检测，对外采软件应用、合作开发软件应用进行安全检测，避免软件供应链开源风险问题，保障软件产品安全性。

检测方式

支持对源代码包检测、二进制安装包检测、SBOM导入检测、Agent扫描检测等多种检测方式，方便快捷。

优势价值

多维检测，全面适配：支持源码包、二进制包、远程仓库、容器、私服检测，支持组件级、文件级、代码片段级检测。海量数据，精准可靠：支持Java、Python、Go、C++等主流语言15种以上，拥有9000万量级知识库，兼容CNNVD、CNVD、NVD等权威漏洞库。

开发安全测试活动-IAST工具 icon

IAST通过在服务端部署Agent程序，收集、监控Web应用程序运行时函数执行、数据传输，并与扫描器端进行实时交互，高效、准确的识别安全缺陷及漏洞，同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。

研发安全部门/安全测试部门

传统的静态和动态工具不擅长测试API安全，这些工具无法处理复杂协议（JSON，XML，二进制，或其他payload），或者架构中用来构建API的复杂数据流和控制流，使用IAST保证API安全性。

检测方式

在应用插装部署 IAST agent，同时在测试环境中运行已经插装agent的应用，通过测试人员对应用输入流量进行安全测试。

优势价值

1、属于被动式IAST，具有近实时检测、高检出率、低误报率、低漏报率等优点。2、不需要重放数据包，可覆盖加密、防重放、验证码等真实业务场景； 3、不产生脏数据，不对测试人员工作造成任何干扰

开发安全测试活动-移动App安全检测工具 icon

采用静态检测、动态检测、内容检测等技术，全面检测移动应用中存在的安全漏洞、编码缺陷等问题，提前避免因安全漏洞导致的安全事故，及时预防安全风险。

安全需求伴随移动App的广泛应用，越来越多的App遭受到黑客攻击，比如数据库被篡改，数据被泄露，手机号、姓名以及密码等重要资料被盗取。有些App上甚至连银行卡，充值通道，支付接口也被黑客修改过，导致App运营者经济损失惨重。

检测方式自动化安全检测，提交上传移动应用的APK包（安卓）或者IPA包（IOS），自动化安全检测效果高，检测方便无需人工干预，可快速检查出移动应用存在的安全问题。

优势价值 1、属于被动式IAST，具有近实时检测、高检出率、低误报率、低漏报率等优点。 2、不需要重放数据包，可覆盖加密、防重放、验证码等真实业务场景； 3、不产生脏数据，不对测试人员工作造成任何干扰。

应用上线安全运营--应急监测体系 icon

建立应用安全风险监测、问题征集能力，为应用建立有效的应急监测体系

主动进行SRC运营，发布众测和漏洞悬赏，可有效利用外部资源进行高性价比的残余风险发现。

在开发阶段，集成IAP应用安全监测体系，对于非应用升级引起的异常可以研判是否遭受入侵，主动响应。

应用上线安全运营-建立闭环机制 icon

安全威胁监测/事件驱动
IAP持续收集流量及安全相关的日志/告警，SRC收集漏洞事件，进行7*24小时的监测与记录

深度威胁研判和处置
安服专家对安全事件/安全威胁的专业分析及定位，帮助客户精准定位问题，快速修复解决问题。

问题根因分析和建议
安服专家对问题进行全面深度分析，分析当前问题根因，并提出长期的改进建议。

输出安全需求和安全设计
根据问题发生根因和解决建议，形成应用安全需求文档，根据安全需求文档输出安全SDK或安全设计，导入开发需求库。

持续安全运营活动--应用缺陷运营 icon

支持SAST/SCA/IAST/DAST等多种代码检测结果汇总跟踪，轻松分析单个应用代码漏洞情况，便捷管理。

影响分析：针对漏洞被利用后的任务影响、技术影响、安全影响三个维度进行分析，识别漏洞的影响。可利用情况：针对漏洞利用难度，从利用情况、效用情况、系统暴露三个维度，例如是否有POC/EXP、利用难度、业务是否对外等情况进行赋值。

持续安全运营活动--开发安全度量 icon

从安全需求完成情况、漏洞修复情况、研发流程互动等维度全面跟踪分析项目开发安全情况，评估项目应用安全水平，跟进落实改进执行相关工作。

从战略指标、合规政策、架构分析、代码审查、渗透测试等维度全面分析度量用户开发安全成熟度水平，同时对比行业实践标准比对，针对性改进提高安全水平。

开发安全需求管理--开发安全能力评估 icon

在开发安全工作开展后，深信服提供开发安全能力成熟评估相关服务，针对开发安全落地执行情况，应用开发安全水平进行整体评估，帮助企业持续改进优化开发安全活动，量化评估展示开发安全成果。

开发安全全流程管理及能力支撑 icon

用户价值-风险前置、安全左移、源生内建、天生安全 icon

安全效果提升明显
通过应用缺陷运营、需求落地运营等维度，大幅度提高应用安全水平，通过度量指标展示跟踪，省时省力

安全落地更轻松
基于智能化、自动化的aSecPaaS和扫描工具箱实现应用所需的安全功能，大幅减少专职安全经理人数，效率更高

可持续演进
在漏洞闭环基础上，提供多达20多种安全PaaS能力，全面覆盖前端安全、传输安全、后台安全场景需求

应用数据安全合规实践--XX股份银行 icon

一、用户简介

XXX股份制银行有较多的对外应用，包括web、移动APP、小程序等类型，过往不同业务部门负责不同业务开发对接，不同团队对应用数据安全合规认知不统一，能力不一致，存在大量对齐问题，同时安全团队受限于条件，只能对应用“结果”做一些管控，对应用安全情况了解比较落后，无法较好跟进业务的推进。

二、用户需求

应用安全需求左移&能力化：根据行业监管需求和业务数据保护安全需求，梳理不同应用相应安全需求，讲安全需求开发成安全SDK能力，通过应用开发流程的集成对接，实现安全需求左移和自动化交付，避免重复开发。应用安全合规检测：提供各种应用形式数据安全合规自动化检测工具，对应用上线前进行合规检测和管控，确保应用上线的安全。

三、解决方案

现借助应用数据开发安全咨询服务，帮助客户梳理应用数据合规需求，通过数据安全SDK方式集成到开发应用中，通过安全左移帮助用户实现应用内生数据安全，同时借助深信服数字应用安全平台SDK最佳实践检测能力，检测应用数据安全SDK被集成情况，实现对应用内生数据合规安全的检测和管控。

应用缺陷修复加固场景实践--XX政务应用开发商 icon

一、用户简介 XXX有限公司成立于1998年，是高新技术企业、全国版权示范单位。新点软件专注于智慧城市中的智慧招采、智慧政务、数字建筑等领域，为政府部门及相关行业提供以软件为核心的智慧化整体解决方案。

二、用户需求降低老版本安全维护：项目交付多为定制化交付，保有客户在使用老旧版本的产品时，经常会收到政务云检测部门的漏洞提醒，增加了新点对于老旧版本产品的安全运维投入。降低安全防护代码改造量：公司期望对所有产品线进行安全基线要求，但产品线繁多，给“安全部门”带来了很大的开发投入，且因为代码深度耦合，对于原产品的开发进度造成了影响。

三、解决方案采用深信服BOT-SDK集成与应用中，通过BOT-SDK，有效防护漏洞扫描问题，解决漏洞通报问题，减少投诉问题。

软件供应链安全建设实践--XX省联通 icon

需求背景：XX省联通收到工信部和集团总部对本省联通业务的漏洞通报，同时即将参加2022年Hvv攻防演练，故发起对互联网应用收敛和漏洞防护修复工作；互联网应用主要外采第三方ISV产品为主，过往没有建立体系的软件供应链安全规范，也无严格把控软件应用上线前的安全检测以及软件上线后应用安全问题的处置闭环，导致堆积大量应用漏洞，从而被通报；

场景需求： 1、建立符合联通体系有效的软件供应链安全管理规范/制度；2、建立相关的供应链安全检测/管控技术，如上线前检测、代码审计等3、上线后的持续检测开源组件风险漏洞，同时针对检测风险应急处理

解决方案： 1、通过软件供应链咨询服务协助客户建立软件供应链安全管理规范/制度；2、给客户提供相关软件代码检测工具，协助客户落实应用安全检测和监测的工作；3、提供RASP应用热补丁实现应用漏洞应急处置相关技术措施，保障风险应急；

产品推荐查看更多>>

数字认证密码云服务平台

数字认证密码云服务平台以商用密码技术、产品、服务及相关标准规范为基础，有效整合各类密码资源和密码业务，形成了覆盖 CRaaS、CFaaS、CBaaS 三层完备的密码服务供给体系，能够面向业务提供泛在化、多元化、安全可控的密码服务。同时，该平台具备自动化、智能化、可视化的密码运营能力，有效实现了全栈密码服务的可管可控。

设备集中管理

接口统一标准

服务集约整合

智能运维运营

立即咨询查看详情

密码云芯密钥管理系统

密码云芯密钥管理系统依托服务器密码机提供三层密钥管理机制，对密钥进行全生命周期管理，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。向客户的业务系统提供基础的密码服务，实现业务系统的权限验证、安全访问、密钥资源绑定等功能。系统支持SM2ISM3/SM4算法密钥的管理和应用，同时支持白盒密钥的应用方式。

适配多CA系统

白盒算法

全链条自主研发

SM2/SM3/SM4算法

立即咨询查看详情

密码云芯云密码服务平台

密码云芯云密码服务平台为企业提供统一密码设备管理、统一密铜管理、统一密码计算服务等综合性服务，成为统一建设、分级管理的治理抓手;通过按需密码服务供给，简化应用系统接入;保障密码应用合规性、正确性和有效性，快速通过密评;推动持续建设，实现基于密码数据的态势感知、预警分析。

云原生架构

分层解耦

密码底座

态势感知

立即咨询查看详情

数字化社区查看更多>>