靜態(tài)應(yīng)用安全測試(SAST)工具(也稱為白盒測試)可供有權(quán)訪問應(yīng)用程序的源代碼�����、字節(jié)代碼或二進制文件的人使用�����。它能識別應(yīng)用程序中的潛在漏洞���,例如程序正在使用不受信任的數(shù)據(jù),并在沒有任何形式的驗證和/或編碼的情況下將其視為可信��。黑盒測試用于正在運行的應(yīng)用程序��,在這個過程中不易發(fā)現(xiàn)的漏洞可以被 SAST工具檢測出來��。
4.???? 手動安全測試自動化工具有一定的局限性�,這就是為什么需要補充手動安全測試的原因��。例如�����,自動化工具可能無法檢測到邏輯和設(shè)計缺陷,這時候就需要手動代碼審查和滲透測試��,用來識別和解決這些問題�。
5.???? 專業(yè)人員與培訓(xùn)計劃軟件是一個團隊協(xié)作開發(fā)的結(jié)果。開發(fā)過程中的所有參與者都應(yīng)在安全方面獲得充分的信息和培訓(xùn)���,從而在整個軟件開發(fā)生命周期(SDLC)中推動安全計劃進展�����。推行安全計劃不能只靠軟件開發(fā)人員����,還需要了解常見漏洞和核心安全概念的質(zhì)量保證(QA)團隊和項目經(jīng)理���。 QA團隊?wèi)?yīng)該能夠進行基本的安全測試工作���。
創(chuàng)造具有安全意識的環(huán)境和培養(yǎng)這樣的團隊意味著在SDLC早期就能發(fā)現(xiàn)安全問題,并且在其成為沉重負(fù)擔(dān)前解決掉����。
總結(jié)金融服務(wù)機構(gòu)受到高度的監(jiān)管,應(yīng)用程序運行環(huán)境復(fù)雜���。市場日新月異����,維持應(yīng)用程序安全是一項有挑戰(zhàn)的任務(wù)。但部署安全系統(tǒng)及在SDLC早期(即“左移”)采取安全舉措可以為金融服務(wù)機構(gòu)提供堅實的軟件安全保障�。
