好色先生TV

Tópicos técnicos

O que é seguran?a de aplicativos?

Ilustra??o de itens de TI com foco em um ponto de interroga??o

Vis?o geral

A seguran?a de aplicativos é a disciplina de processos, ferramentas e práticas que visam a proteger os aplicativos contra amea?as durante todo o ciclo de vida do aplicativo. Os criminosos cibernéticos s?o organizados, especializados e motivados a encontrar e explorar vulnerabilidades nos aplicativos corporativos para roubar dados, propriedade intelectual e informa??es confidenciais. A seguran?a de aplicativos pode ajudar as organiza??es a proteger todos os tipos de aplicativos (como legados, desktop, Web, móveis e microsservi?os) usados por participantes internos e externos, incluindo clientes, parceiros comerciais e funcionários.

Seguran?a de aplicativos

Por que seguran?a de aplicativos?

Conforme validado por vários estudos, a maioria das viola??es bem-sucedidas tem como alvo vulnerabilidades exploráveis que residem na camada de aplicativos, o que indica a necessidade de os departamentos de TI das empresas ficarem ainda mais atentos à seguran?a dos aplicativos. Para agravar ainda mais o problema, o número e a complexidade dos aplicativos est?o aumentando. Há dez anos, o desafio da seguran?a de software consistia em proteger aplicativos de desktop e sites estáticos que eram razoavelmente inócuos e fáceis de serem avaliados e protegidos. Agora, a cadeia de suprimentos de software é muito mais complicada, considerando o desenvolvimento terceirizado, o número de aplicativos legados, juntamente com o desenvolvimento interno que aproveita componentes de software de terceiros, de código aberto e comerciais, prontos para uso.

As organiza??es precisam de solu??es de seguran?a de aplicativos que abranjam todos os seus aplicativos, desde os usados internamente até os aplicativos externos populares usados nos telefones celulares dos clientes. Essas solu??es devem abranger todo o estágio de desenvolvimento e oferecer testes depois que um aplicativo for colocado em uso para monitorar possíveis problemas. As solu??es de seguran?a de aplicativos devem ser capazes de testar os aplicativos da Web em busca de vulnerabilidades potenciais e exploráveis, ter a capacidade de analisar códigos, ajudar a gerenciar os processos de gerenciamento de seguran?a e desenvolvimento, coordenando esfor?os e permitindo a colabora??o entre as várias partes interessadas. As solu??es também devem oferecer testes de seguran?a de aplicativos que sejam fáceis de usar e implementar.


O que é SAST, DAST e SCA?

O que é SAST?

O teste estático de seguran?a de aplicativos (SAST ) examina os arquivos de origem do aplicativo, identifica com precis?o a causa raiz e ajuda a corrigir as falhas de seguran?a subjacentes.

Benefícios dos testes estáticos de seguran?a de aplicativos

  • Identificar e eliminar vulnerabilidades no código-fonte, binário ou de bytes.
  • Revise os resultados da verifica??o de análise estática em tempo real com acesso a recomenda??es, navega??o por linha de código para encontrar vulnerabilidades mais rapidamente e auditoria colaborativa.
  • Totalmente integrado ao Integrated Developer Environment (IDE).

O que é DAST?

O Dynamic Application Security Testing (DAST ) simula ataques controlados a um aplicativo ou servi?o da Web em execu??o para identificar vulnerabilidades exploráveis em um ambiente em execu??o.

Benefícios dos testes din?micos de seguran?a de aplicativos:

  • Oferece uma vis?o abrangente da seguran?a de aplicativos, concentrando-se no que é explorável e abrangendo todos os componentes (servidor, código personalizado, código-fonte aberto, servi?os).
  • Pode ser integrado ao desenvolvimento, controle de qualidade e produ??o para oferecer uma vis?o holística contínua.
  • A análise din?mica permite uma abordagem mais ampla para gerenciar o risco do portfólio (milhares de aplicativos) e pode examinar aplicativos legados como parte do gerenciamento de riscos.
  • Testa o aplicativo funcional, portanto, ao contrário do SAST, n?o é restrito à linguagem e é possível descobrir problemas relacionados ao ambiente e ao tempo de execu??o.

O que é SCA?

A Análise de Composi??o de Software (SCA) é um processo automatizado que ajuda a identificar e rastrear os componentes de código aberto usados nos aplicativos. Ferramentas mais robustas de SCA podem analisar todos os componentes de código aberto quanto a riscos de seguran?a, conformidade com licen?as e qualidade do código.

Benefícios da análise de composi??o de software:

    • Obtenha visibilidade e compreens?o dos componentes de código aberto em sua organiza??o (forne?a uma lista de materiais de software).
    • Automa??o de políticas para evitar problemas de seguran?a e licen?a.
    • Sugest?es de corre??o para vulnerabilidades e aconselhamento sobre riscos de licen?as.
    • Analisar a saúde dos projetos de código aberto para eliminar o risco causado por comunidades pobres ou em decadência.

No local vs. SaaS vs. Servi?o gerenciado

As solu??es de seguran?a de aplicativos consistem no software de seguran?a cibernética (as ferramentas) e nas práticas que executam o processo para proteger os aplicativos.

No local

As solu??es de teste de seguran?a de aplicativos podem ser executadas no local (internamente), operadas e mantidas por equipes internas. Essa abordagem exige que as organiza??es forne?am a infraestrutura e a equipe e adquiram solu??es de seguran?a de aplicativos para seu uso. O local garante às organiza??es que os dados de seus aplicativos n?o sejam compartilhados com terceiros e n?o saiam do local.

SaaS

A seguran?a de aplicativos como uma oferta de SaaS fornece solu??es baseadas na nuvem com uma interface de usuário baseada na Web, permitindo que o cliente configure, execute e gerencie a seguran?a de aplicativos. Essa op??o ainda exige que as organiza??es forne?am a equipe e o conhecimento necessários para executar as várias ferramentas de teste de seguran?a de aplicativos, mas sem a necessidade de fornecer infraestrutura, manuten??o, atualiza??es etc.

Servi?o gerenciado

A seguran?a de aplicativos também pode ser um servi?o gerenciado em que o cliente consome servi?os fornecidos como uma solu??o pronta para uso pelo provedor de seguran?a de aplicativos. Essa abordagem n?o exige nenhum dos pré-requisitos da abordagem no local, mas requer a dependência parcial ou total do fornecedor de SaaS e, na maioria dos casos, permite que os dados do aplicativo sejam compartilhados com o fornecedor. A seguran?a de aplicativos como um servi?o gerenciado é uma maneira fácil de come?ar e pode oferecer escalabilidade e velocidade. As implementa??es híbridas (usando servi?os locais, SaaS e gerenciados juntos em diferentes projetos e práticas) têm como objetivo oferecer o melhor dos dois mundos, proporcionando flexibilidade, escalabilidade e otimiza??o de custos.


O que é o OWASP Top 10?

OWASP Top 10

O Open Web Application Security Project(OWASP) é uma comunidade de seguran?a de aplicativos de código aberto com o objetivo de melhorar a seguran?a do software. Suas diretrizes OWASP Top 10, padr?o do setor, fornecem uma lista dos riscos mais críticos à seguran?a de aplicativos para ajudar os desenvolvedores a proteger melhor os aplicativos que projetam e implantam.

Solu??es de seguran?a de aplicativos

好色先生TV As solu??es de seguran?a de aplicativos oferecem testes e gerenciamento de seguran?a de aplicativos no local, hospedados e como servi?o para ajudar as empresas a proteger seus aplicativos de software, incluindo aplicativos legados, móveis, de terceiros e de código aberto.

Fortify As ofertas incluem análise de código estático, teste din?mico de seguran?a de aplicativos, e ferramentas interativas de teste de seguran?a de aplicativos para fornecer seguran?a de código para seus aplicativos da Web, , , , e .

As solu??es incluem:

好色先生TV? Fortify? Static Code Analyzer - Static Application Security Testing (SAST) - Identifica e aponta vulnerabilidades de seguran?a no código-fonte no início do ciclo de vida de desenvolvimento do software.

好色先生TV? Fortify? WebInspect - Teste din?mico de seguran?a de aplicativos (DAST) - Simula ataques de seguran?a reais em um aplicativo em execu??o para fornecer uma análise abrangente de aplicativos e servi?os complexos da Web.

好色先生TV? Fortify? On Demand - Security as a Service - Uma maneira simples, fácil e rápida de testar aplicativos com precis?o sem precisar instalar ou gerenciar software ou adicionar recursos adicionais.

- metodologia de teste móvel que testa todos os três níveis, incluindo o cliente, a rede e o servidor.

好色先生TV? A nuvem de seguran?a cibernética é um repositório de gerenciamento centralizado que oferece visibilidade de todo o programa de testes de seguran?a de aplicativos. Ele prioriza, gerencia e rastreia as atividades de teste de seguran?a e fornece uma imagem precisa do risco de seguran?a do software em toda a empresa.

Seguran?a de aplicativos

Comece hoje mesmo.

Notas de rodapé