好色先生TV

Tekniska ?mnen

Vad ?r Dynamic Application Security Testing (DAST)?

Illustration av IT-objekt med fokus p? ett fr?getecken

?versikt

Dynamisk s?kerhetstestning av applikationer (DAST) ?r en process d?r man analyserar en webbapplikation via frontend f?r att hitta s?rbarheter genom simulerade attacker. Denna typ av metod utv?rderar applikationen "utifr?n och in" genom att attackera en applikation p? samma s?tt som en illvillig anv?ndare skulle g?ra. Efter att en DAST -skanner har utf?rt dessa attacker letar den efter resultat som inte ing?r i den f?rv?ntade resultatupps?ttningen och identifierar s?kerhetsproblem.

Dynamisk s?kerhetstestning av applikationer (DAST)

F?rdelar med DAST

  • Oberoende av applikationen
  • Omedelbart hitta s?rbarheter som kan utnyttjas
  • Kr?ver inte tillg?ng till k?llkoden

Nackdelar med DAST

  • Hittar inte den exakta platsen f?r en s?rbarhet i koden
  • S?kerhetskunskap kr?vs f?r att tolka rapporter
  • Testet kan vara tidskr?vande

Utveckling och testning av applikationer forts?tter att vara den mest utmanande s?kerhetsprocessen f?r organisationer, enligt IT-s?kerhetsexperter. Utvecklare beh?ver l?sningar som hj?lper dem att skapa s?ker kod, och det ?r h?r AppSec-verktygen (Application Security) kommer in i bilden.

AppSec ?r en disciplin med processer, verktyg och metoder som syftar till att skydda applikationer fr?n hot genom hela applikationens livscykel.

Det finns m?nga s?tt att testa applikationss?kerhet, bland annat:

Varf?r ?r DAST viktigt?

DAST ?r viktigt eftersom utvecklare inte beh?ver f?rlita sig enbart p? sin egen kunskap n?r de bygger applikationer. Genom att genomf?ra DAST under SDLC kan du uppt?cka s?rbarheter i en applikation innan den distribueras till allm?nheten. Om dessa s?rbarheter inte ?tg?rdas och appen distribueras som s?dan kan det leda till ett dataintr?ng, vilket kan leda till stora ekonomiska f?rluster och skada ditt varum?rkes rykte. Det m?nskliga felet kommer oundvikligen att spela en roll n?gon g?ng under livscykeln f?r programvaruutveckling (SDLC), och ju tidigare en s?rbarhet uppt?cks under SDLC, desto billigare ?r den att ?tg?rda.

N?r DAST ing?r som en del av CI/CD-pipelinen (Continuous Integration/Continuous Development) kallas detta f?r "Secure DevOps" eller "DevSecOps".

Hur fungerar DAST ?

En DAST -skanner s?ker efter s?rbarheter i en applikation som k?rs och skickar sedan automatiska varningar om den hittar brister som m?jligg?r attacker som , XSS (Cross-Site Scripting) med mera. Eftersom DAST -verktyg ?r utrustade f?r att fungera i en dynamisk milj? kan de uppt?cka brister i k?rtiden som SAST -verktyg inte kan identifiera.

F?r att ta en byggnad som exempel kan en DAST scanner liknas vid en s?kerhetsvakt. Men i st?llet f?r att bara se till att d?rrar och f?nster ?r l?sta g?r vakten ett steg l?ngre genom att f?rs?ka bryta sig in i byggnaden rent fysiskt. Vakten kan f?rs?ka dyrka upp l?sen p? d?rrarna eller krossa f?nster. Efter att ha avslutat unders?kningen kan vakten rapportera tillbaka till byggnadschefen och ge en f?rklaring till hur han lyckades bryta sig in i byggnaden. En DAST -skanner kan ses p? samma s?tt - den f?rs?ker aktivt hitta s?rbarheter i en k?rmilj? s? att DevOps-teamet vet var och hur de ska ?tg?rda dem.

Vad ?r ett DAST verktyg som ?r v?l l?mpat f?r utvecklare?

好色先生TV? Fortify? WebInspect tillhandah?ller automatiserad dynamisk s?kerhetstestning av applikationer s? att du kan skanna och ?tg?rda s?rbarheter i webbapplikationer som g?r att utnyttja.

Vanligtvis g?rs DAST efter produktion eftersom det emulerar attacker p? en applikation som k?rs, men genom att fatta beslutet att "flytta DAST till v?nster" (flytta DAST tidigare i utvecklingsprocessen) kan du uppt?cka s?rbarheter tidigare, vilket sparar tid och pengar. Fortify WebInspect inneh?ller f?rbyggda skanningspolicyer som balanserar behovet av snabbhet med dina organisatoriska krav.

Fortify WebInspect inneh?ller ocks? en funktion f?r inkrementell skanning, som g?r att du snabbt kan bed?ma s?rbarheter i endast de delar av programmet som har ?ndrats.

Fortify Med WebInspect kan du:

  • S?kra DevOps med automatiserad DAST
  • Hantera AppSec-risker i stor skala
  • Uppn? efterlevnad av viktiga regler f?r datas?kerhet
  • Skifta DAST till v?nster
  • Genoms?ka moderna ramverk och API:er
  • Bygg ett starkare AppSec-program

Vad ?r skillnaden mellan SAST och DAST?

DAST angriper programmet "utifr?n och in" genom att angripa ett program som en illasinnad anv?ndare skulle g?ra. N?r en DAST -skanner har utf?rt dessa attacker letar den efter resultat som inte ing?r i den f?rv?ntade resultatupps?ttningen och identifierar s?kerhetsproblem.

SASTanalyserar ? andra sidan statiska milj?er, det vill s?ga k?llkoden till en applikation. Man tittar p? applikationen fr?n "insidan och ut" och letar efter s?rbarheter i koden.

F?r att maximera styrkan i din s?kerhetsst?llning ?r det en bra idé att anv?nda b?de SAST och DAST. Med denna enhetliga taxonomi f?r olika testmetoder f?r du en fullst?ndig bild av s?rbarheter.

P? 好色先生TV Fortify ...

Vi f?rb?ttrar din SDLC med Dynamic Application Security Testing (DAST). Fortify WebInspect tillhandah?ller den teknik och rapportering som du beh?ver f?r att s?kra och analysera dina applikationer. Detta och andra verktyg fr?n 好色先生TV ?verbryggar klyftan mellan befintliga och nya tekniker - vilket inneb?r att du kan innovera och leverera appar snabbare, med mindre risk, i kappl?pningen mot digital omvandling.

Fortify erbjuder de mest omfattande teknikerna f?r statisk och dynamisk testning av applikationss?kerhet, tillsammans med ?vervakning och skydd av applikationer under k?rning, med st?d av branschledande s?kerhetsforskning.

Kontakta oss

Kontakta oss f?r mer information om Fortify WebInspect

Kontakta oss

Relaterade produkter

好色先生TV? Fortify? WebbInspektion

Identifiera s?rbarheter i distribuerade webbapplikationer och -tj?nster

好色先生TV? Fortify? P? beg?ran

L?s upp s?kerhetstestning, s?rbarhetshantering samt skr?ddarsydd expertis och support

好色先生TV? Cybersecurity Cloud

Smartare, enklare skydd

Se alla relaterade produkter

Hur kan vi hj?lpa till?

Fotnoter