新思科技助力SFR電信公司在SDLC早期消除漏洞隱患

飛象網(wǎng)訊 美國新思科技公司發(fā)布的Seeker是一套交互式應(yīng)用安全測試(IAST)解決方案，其最新版本經(jīng)過重新設(shè)計，現(xiàn)可支持DevSecOps及持續(xù)交付安全的Web應(yīng)用程序。Seeker在生產(chǎn)前測試周期無縫集成到CI/CD流程并監(jiān)控Web應(yīng)用程序。憑借專利技術(shù)，Seeker是能夠檢測并自動驗(yàn)證是否有可被利用漏洞的應(yīng)用安全解決方案，為開發(fā)人員提供實(shí)時準(zhǔn)確、可操作的信息。

法國電信運(yùn)營商SFR (Société française du radiotelephone)通過部署Seeker交互式應(yīng)用安全測試解決方案，可以在軟件開發(fā)生命周期（SDLC）早期識別并修復(fù)漏洞，同時促進(jìn)了開發(fā)和安全團(tuán)隊之間的協(xié)作。

企業(yè)概覽

Altice Europe是一家跨國電信集團(tuán)，在法國電信與媒體融合領(lǐng)域有著舉足輕重的地位，通過其旗下的電信運(yùn)營商SFR (Société française du radiotelephone)為2,300多萬客戶服務(wù)，為消費(fèi)者和企業(yè)提供語音、視頻、數(shù)據(jù)、互聯(lián)網(wǎng)電信及相關(guān)專業(yè)服務(wù)。

挑戰(zhàn)：在軟件開發(fā)生命周期中段才置入安全

SFR公司B2C業(yè)務(wù)的 IT部門服務(wù)超過2,300萬客戶，每年部署數(shù)十個大型項(xiàng)目，包括Web、前端和辦公應(yīng)用程序。該部門希望提升網(wǎng)絡(luò)安全策略，通過增加動態(tài)掃描程序完善其安全工具，進(jìn)行動態(tài)安全管理（在代碼執(zhí)行和幾個應(yīng)用程序之間或前后端之間對話的框架內(nèi)），以實(shí)現(xiàn)在軟件開發(fā)生命周期(SDLC)早期就能確保代碼安全。

具體而言，SFR希望解決方案可以：

 使開發(fā)人員能夠參與并了解最新的網(wǎng)絡(luò)安全問題

 減少軟件開發(fā)項(xiàng)目在生產(chǎn)階段的漏洞數(shù)量

 減少對客戶的潛在影響以及降低法律機(jī)構(gòu)對其進(jìn)行經(jīng)濟(jì)處罰的風(fēng)險

 使開發(fā)人員或者測試人員能在SDLC早期就能修復(fù)漏洞

 作為CI / CD工作流程的一部分，啟用自動安全測試和即時漏洞檢測

 獲取上下文信息，便捷、實(shí)時地重現(xiàn)和修復(fù)漏洞

 即時獲得檢測結(jié)果以進(jìn)行快速修復(fù)

 比靜態(tài)應(yīng)用安全測試工具的結(jié)果更加精確

 提升跨職能協(xié)作

SFR驗(yàn)證與安全總監(jiān)Robert Cohen介紹道：“SFR選擇了新思科技Seeker交互式應(yīng)用安全測試解決方案，幫助防止Web應(yīng)用程序的代碼漏洞，并獲得實(shí)時結(jié)果以進(jìn)行快速修復(fù)。” 

解決方案：部署企業(yè)級交互式應(yīng)用安全測試，在SDLC早期識別漏洞

新思科技的Seeker 交互式應(yīng)用安全測試解決方案旨在幫助發(fā)現(xiàn)高風(fēng)險的安全漏洞，同時促進(jìn)開發(fā)和安全團(tuán)隊之間的協(xié)作。

Seeker 交互式應(yīng)用安全測試可以檢測到Web應(yīng)用程序漏洞，并將其直接與業(yè)務(wù)影響聯(lián)系在一起，從而清楚地說明風(fēng)險。 Seeker無縫集成到CI / CD工作流程中，可自動進(jìn)行應(yīng)用程序安全性測試，而不會減慢發(fā)布周期。

Seeker交互式應(yīng)用安全測試通過使開發(fā)人員能夠在SDLC早期修復(fù)關(guān)鍵的安全漏洞，節(jié)約了寶貴的時間、資源和成本。 而且，Seeker通過在應(yīng)用程序投入生產(chǎn)之前對其進(jìn)行保護(hù)來降低風(fēng)險。

通過實(shí)時自動驗(yàn)證檢測結(jié)果，Seeker交互式應(yīng)用安全測試有助于減少其它應(yīng)用程序安全測試工具中常見的誤報，從而可以輕松地對重要的關(guān)鍵漏洞進(jìn)行分類和優(yōu)先級劃分。

Seeker交互式應(yīng)用安全測試還為開發(fā)人員提供了代碼中漏洞的確切位置，修復(fù)建議以及代碼執(zhí)行流程，以幫助他們快速修復(fù)漏洞。

成效：將開發(fā)人員置于安全測試的核心

SFR正在部署Seeker交互式應(yīng)用安全測試，之后會每天將其用于每次代碼審查。SFR公司B2C業(yè)務(wù)的 IT部門目前每天大約測試十幾個本地應(yīng)用程序，這個數(shù)量將增加到幾十個。全面部署Seeker交互式應(yīng)用安全測試解決方案后，誤報率會降低，并且生產(chǎn)率會大幅提高。

即使是在部署初期，SFR已經(jīng)看到了裨益：

 相比靜態(tài)應(yīng)用安全測試等其它工具，Seeker交互式應(yīng)用安全測試的檢測能力更勝一籌

 開發(fā)人員回歸到處理安全挑戰(zhàn)的核心位置，在交付產(chǎn)品的同時保持安全規(guī)范一致性。

SFR公司B2C業(yè)務(wù) IT部門網(wǎng)絡(luò)安全高級經(jīng)理Zine-Eddine Yahoui指出他最贊賞Seeker交互式應(yīng)用安全測試的三個優(yōu)點(diǎn)：在執(zhí)行代碼期間識別漏洞的能力；內(nèi)容翔實(shí)的報告；識別代碼行以簡化開發(fā)團(tuán)隊修復(fù)漏洞過程的能力。