美国新思科技公司发布的Seeker是一套交互式应用安全测试(IAST)解决方案,其最新版本经过重新设计,以支持DevSecOps及持续交付安全的Web应用程序。Seeker在生产前测试周期无缝集成到CI/CD流程并监控Web应用程序。凭借专利技术,Seeker是目前唯一能够检测并自动验证是否有可被利用漏洞的应用安全解决方案,为开发人员提供实时准确、可操作的信息。
法国Parkeon公司选择Seeker为其提供安全支付解决方案,本文将详细介绍Seeker如何保障Parkeon公司支付系统安全。
业务概况及挑战
法国Parkeon公司是城市交通领域的佼佼者,也是停车和运输管理解决方案的全球供应商。 Parkeon在全球55个国家的3,000多个城市提供独特的停车控制和支付服务。
Parkeon开发适用于所有销售渠道的实时支付系统 ,包括信用卡和借记卡、手机帐户、预付卡、电子钱包以及接触/非接触式卡技术。这些解决方案部署在Parkeon自己的POS终端上,例如路边停车收费表或“凭票停车”以及 “pay-on-foot自助机”停车场。
随着电子商务和远程(POS)安全漏洞频发,Parkeon将应用程序的安全性提到最高水平,无论部署的地理位置在哪。
Parkeon的IT部门选择了新思科技软件质量与安全部门的交互式应用安全测试(IAST)工具Seeker,以验证其主要电子票务和交易产品ArchiPEL的端到端安全性和PCI(支付卡行业)合规性。Parkeon之所以选择Seeker,是因为它具有精确的漏洞检测能力、PCI合规性检测功能、可集成到开发流程集成,而且即使是没有安全专业知识的开发人员和测试人员也可以轻松应用Seeker。
“我们选择了Seeker交互式应用安全测试工具,因为测试人员和开发人员不需要投入时间或拥有专业知识来定期执行安全任务。Seeker提供漏洞与受影响源代码之间的关联,从而节省开发人员的工作量。”
解决方案评估
Parkeon构建完整的支付解决方案,帮助客户集中电子支付流程。这两项活动都要求整体解决方案架构符合行业中的标准和规范,例如PCI DSS。
Parkeon一直在使用动态应用安全测试(DAST)工具来验证其集成环境中应用程序的安全性,但该解决方案并没有完全符合他们的要求。
该应用程序采用敏捷开发方法开发,每季度更新五次。Parkeon需要一种工具,将安全验证集成到现有的自动化流程中,并且非安全专家的开发人员和测试人员可以轻松操作。
部署及裨益
部署了新思科技软件质量与安全部门的Seeker交互式应用安全测试工具,Parkeon公司获得以下三大裨益:
首先,Seeker了解并验证数据如何流经应用程序,确保整个系统端到端符合PCI DSS等安全标准。它还能识别与敏感数据影响相关的漏洞。
Seeker提供的测试有助于满足PCI DSS第6节的要求。通过支付链的各个组件自动跟踪关键数据(如信用卡信息),Seeker可以验证是否存在漏洞,例如遗忘的调试数据、不安全的操作、不安全的存储,甚至是暂时存在于文件或数据库中,向第三方进行不安全传播等潜在危险。通过Seeker,Parkeon可以自动确保整个系统符合每个版本的安全标准。
其次,Seeker通过将漏洞定位至源代码库中,促进测试和开发团队之间的沟通。其它动态测试工具只是通过违规URL报告漏洞。Seeker与此不同,它可以自动将漏洞与代码库联系起来,以确定哪里必须要进行修复。它将误报减少至接近于零,精准定位易受攻击的源代码,并为开发人员提供面向测试应用程序量身定制的明确的补救建议。
通过采用Seeker,Parkeon提高了安全性,减少了在安全测试方面花费的时间,并且改善了安全和研发团队之间的沟通效率:
第三,Seeker有助于提高安全意识,并且培训开发人员按照OWASP Top 10的标准进行安全编码实践。通过解释业务风险并提供详细的、前后关联的补救建议,Seeker帮助Parkeon的测试和开发团队提升安全意识,并进行持续的培训,从而提高了其代码的安全性。
“Seeker交互式应用安全测试工具解决了我们集成和自动化的需求。它为用户提供培训和知识。Seeker是一套完美的工具,帮助我们提高安全实践以构建杰出的软件。”
总结
新思科技软件质量与安全部门的Seeker交互式应用安全测试工具无缝集成到Parkeon公司的安全自动化流程,确保其开发和测试团队能快速、安全并且合规地发布产品,同时提高生产力和安全意识。