靜態(tài)應用安全測試(SAST)工具(也稱為白盒測試)可供有權(quán)訪問應用程序的源代碼、字節(jié)代碼或二進制文件的人使用。它能識別應用程序中的潛在漏洞,例如程序正在使用不受信任的數(shù)據(jù),并在沒有任何形式的驗證和/或編碼的情況下將其視為可信。黑盒測試用于正在運行的應用程序,在這個過程中不易發(fā)現(xiàn)的漏洞可以被 SAST工具檢測出來。

4.???? 手動安全測試自動化工具有一定的局限性,這就是為什么需要補充手動安全測試的原因。例如,自動化工具可能無法檢測到邏輯和設計缺陷,這時候就需要手動代碼審查和滲透測試,用來識別和解決這些問題。

5.???? 專業(yè)人員與培訓計劃軟件是一個團隊協(xié)作開發(fā)的結(jié)果。開發(fā)過程中的所有參與者都應在安全方面獲得充分的信息和培訓,從而在整個軟件開發(fā)生命周期(SDLC)中推動安全計劃進展。推行安全計劃不能只靠軟件開發(fā)人員,還需要了解常見漏洞和核心安全概念的質(zhì)量保證(QA)團隊和項目經(jīng)理。 QA團隊應該能夠進行基本的安全測試工作。
創(chuàng)造具有安全意識的環(huán)境和培養(yǎng)這樣的團隊意味著在SDLC早期就能發(fā)現(xiàn)安全問題,并且在其成為沉重負擔前解決掉。

總結(jié)金融服務機構(gòu)受到高度的監(jiān)管,應用程序運行環(huán)境復雜。市場日新月異,維持應用程序安全是一項有挑戰(zhàn)的任務。但部署安全系統(tǒng)及在SDLC早期(即“左移”)采取安全舉措可以為金融服務機構(gòu)提供堅實的軟件安全保障。

分享到

zhangnn

相關(guān)推薦