靜態(tài)應用安全測試(SAST)工具(也稱為白盒測試)可供有權(quán)訪問應用程序的源代碼���、字節(jié)代碼或二進制文件的人使用。它能識別應用程序中的潛在漏洞��,例如程序正在使用不受信任的數(shù)據(jù)����,并在沒有任何形式的驗證和/或編碼的情況下將其視為可信。黑盒測試用于正在運行的應用程序����,在這個過程中不易發(fā)現(xiàn)的漏洞可以被 SAST工具檢測出來����。
4.???? 手動安全測試自動化工具有一定的局限性�����,這就是為什么需要補充手動安全測試的原因�。例如����,自動化工具可能無法檢測到邏輯和設計缺陷�,這時候就需要手動代碼審查和滲透測試���,用來識別和解決這些問題�。
5.???? 專業(yè)人員與培訓計劃軟件是一個團隊協(xié)作開發(fā)的結(jié)果����。開發(fā)過程中的所有參與者都應在安全方面獲得充分的信息和培訓����,從而在整個軟件開發(fā)生命周期(SDLC)中推動安全計劃進展�����。推行安全計劃不能只靠軟件開發(fā)人員����,還需要了解常見漏洞和核心安全概念的質(zhì)量保證(QA)團隊和項目經(jīng)理�����。 QA團隊應該能夠進行基本的安全測試工作��。
創(chuàng)造具有安全意識的環(huán)境和培養(yǎng)這樣的團隊意味著在SDLC早期就能發(fā)現(xiàn)安全問題�����,并且在其成為沉重負擔前解決掉。
總結(jié)金融服務機構(gòu)受到高度的監(jiān)管�,應用程序運行環(huán)境復雜��。市場日新月異���,維持應用程序安全是一項有挑戰(zhàn)的任務�。但部署安全系統(tǒng)及在SDLC早期(即“左移”)采取安全舉措可以為金融服務機構(gòu)提供堅實的軟件安全保障����。
