新思科技帮助法国电信企业SFR在SDLC早期实现代码安全
作者:数字通信世界 添加时间:2020-09-07
本文将详细介绍Seeker如何保障SFR在软件开发生命周期(SDLC)早期快速识别和修复漏洞,实现代码安全,从而有效应对软件安全的挑战。
凭借专利技术,美国新思科技公司发布的Seeker是能够检测并自动验证是否有可被利用漏洞的应用安全解决方案,为开发人员提供实时准确、可操作的信息。同时Seeker也是能提供敏感数据跟踪的交互式应用安全测试(IAST)解决方案。
法国电信企业SFR (Société française du radiotelephone)选择Seeker交互式应用安全测试解决方案,本文将详细介绍Seeker如何保障SFR在软件开发生命周期(SDLC)早期快速识别和修复漏洞,实现代码安全,从而有效应对软件安全的挑战。
企业概览
Altice Europe是一家跨国电信集团,在法国电信与媒体融合领域有着举足轻重的地位,通过其旗下的电信运营商SFR (Société française du radiotelephone)为2,300多万客户服务,为消费者和企业提供语音、视频、数据、互联网电信及相关专业服务。
挑战:在软件开发生命周期中段才置入安全
SFR公司B2C业务的 IT部门服务超过2,300万客户,每年部署数十个大型项目,包括Web、前端和办公应用程序。该部门希望提升网络安全策略,通过增加动态扫描程序完善其安全工具,进行动态安全管理(在代码执行和几个应用程序之间或前后端之间对话的框架内),以实现在软件开发生命周期(SDLC)早期就能确保代码安全。
具体而言,SFR希望解决方案可以:
(1)使开发人员能够参与并了解最新的网络安全问题。
(2)减少软件开发项目在生产阶段的漏洞数量。
(3)减少对客户的潜在影响以及降低法律机构对其进行经济处罚的风险。
(4)使开发人员或者测试人员能在SDLC早期就能修复漏洞。
(5)作为CI / CD工作流程的一部分,启用自动安全测试和即时漏洞检测。
(6)获取上下文信息,便捷、实时地重现和修复漏洞。
(7)即时获得检测结果以进行快速修复。
(8)比静态应用安全测试工具的结果更加精确。
(9)提升跨职能协作。
SFR验证与安全总监Robert Cohen介绍道:“SFR选择了新思科技Seeker交互式应用安全测试解决方案,帮助防止Web应用程序的代码漏洞,并获得实时结果以进行快速修复。”
解决方案:部署企业级交互式应用安全测试,在SDLC早期识别漏洞
新思科技的Seeker 交互式应用安全测试解决方案旨在帮助发现高风险的安全漏洞,同时促进开发和安全团队之间的协作。
Seeker 交互式应用安全测试可以检测到Web应用程序漏洞,并将其直接与业务影响联系在一起,从而清楚地说明风险。 Seeker无缝集成到CI / CD工作流程中,可自动进行应用程序安全性测试,而不会减慢发布周期。
Seeker交互式应用安全测试通过使开发人员能够在SDLC早期修复关键的安全漏洞,节约了宝贵的时间、资源和成本。 而且,Seeker通过在应用程序投入生产之前对其进行保护来降低风险。
通过实时自动验证检测结果,Seeker交互式应用安全测试有助于减少其它应用程序安全测试工具中常见的误报,从而可以轻松地对重要的关键漏洞进行分类和优先级划分。
Seeker交互式应用安全测试还为开发人员提供了代码中漏洞的确切位置,修复建议以及代码执行流程,以帮助他们快速修复漏洞。
成效:将开发人员置于安全测试的核心
SFR正在部署Seeker交互式应用安全测试,之后会每天将其用于每次代码审查。SFR公司B2C业务的 IT部门目前每天大约测试十几个本地应用程序,这个数量将增加到几十个。全面部署Seeker交互式应用安全测试解决方案后,误报率会降低,并且生产率会大幅提高。
即使是在部署初期,SFR已经看到了裨益:
(1)相比静态应用安全测试等其它工具,Seeker交互式应用安全测试的检测能力更胜一筹。
(2)开发人员回归到处理安全挑战的核心位置,在交付产品的同时保持安全规范一致性。
SFR公司B2C业务 IT部门网络安全高级经理Zine-Eddine Yahoui指出他最赞赏Seeker交互式应用安全测试的三个优点:在执行代码期间识别漏洞的能力;内容翔实的报告;识别代码行以简化开发团队修复漏洞过程的能力。