飛象網(wǎng)訊 開源代碼的使用已經(jīng)越來越普遍了,開發(fā)人員對識別開源和第三方代碼庫風險工具的需求也隨之增加。以色列航空經(jīng)常面臨網(wǎng)絡(luò)威脅,必須保持最高級別的應(yīng)用程序安全性,以防止這些威脅危及乘客的隱私和安全。因此,以色列航空一直在尋求一款解決方案,不需要測試人員和開發(fā)人員投入很多時間,或者具備專業(yè)知識就可以定期執(zhí)行安全任務(wù)。
新思科技Seeker交互式應(yīng)用安全測試可以提供漏洞與受影響源代碼之間的關(guān)聯(lián),從而減少開發(fā)人員的工作量,受到以色列航空的青睞。
以色列航空(TASE:ELAL)擁有6,000多名員工,是以色列的國家航空公司,每年運載旅客超過550萬人次。
在不影響工作流程的情況下識別安全漏洞
以色列航空提供一系列的應(yīng)用程序,包括Web應(yīng)用程序、APP和API,為客戶提供在線機票預(yù)訂、航班狀態(tài)和俱樂部會員管理等各種便捷服務(wù)選擇。它們是由內(nèi)部團隊和外部分包商利用不同的技術(shù)堆棧來開發(fā)的。
以色列航空通常會對Web應(yīng)用程序執(zhí)行滲透測試。這是公司全面的應(yīng)用程序安全計劃的一部分。但是,手動滲透測試的成本很高,并且要在開發(fā)生命周期后期才能檢測到漏洞。這時候往往己經(jīng)準備將應(yīng)用程序部署到生產(chǎn)中了。
以色列航空希望有一個自主的內(nèi)部應(yīng)用程序安全測試解決方案。該解決方案能夠在開發(fā)過程的早期發(fā)現(xiàn)漏洞,而且不會減慢發(fā)布周期,也不會給開發(fā)、質(zhì)量保證或應(yīng)用程序安全團隊增加額外的工作。該解決方案必須簡單易用,以便以色列航空團隊在其應(yīng)用程序運行測試周期中,自動執(zhí)行安全性測試。 以色列航空還希望與公認的行業(yè)領(lǐng)導(dǎo)者合作,共同推出低維護成本、集成在公司CI / CD管道中的應(yīng)用程序安全性測試流程。
Seeker提供快速、可行的結(jié)果
經(jīng)過全面的考量,以色列航空認為新思科技Seeker交互式應(yīng)用安全測試(IAST)是最適合的安全測試解決方案。 Seeker交互式應(yīng)用安全測試幫助以色列航空發(fā)現(xiàn)高風險的安全漏洞,同時促進開發(fā)和安全團隊之間的協(xié)作。此外,它可以檢測應(yīng)用程序漏洞并將其直接與業(yè)務(wù)影響聯(lián)系在一起,從而提供明確的風險解釋。 Seeker無縫集成到CI / CD工作流程中,可以自動進行應(yīng)用程序安全測試,而不會拖延發(fā)布周期。
一個很好的例子是Seeker如何于功能測試期間在后臺監(jiān)視Web應(yīng)用程序,并作為CI / CD流程的一部分實時報告漏洞。通過實時自動驗證發(fā)現(xiàn)的潛在漏洞,Seeker幫助消除其它應(yīng)用程序安全測試工具中常見的誤報。這使團隊可以輕松地對最嚴重的關(guān)鍵漏洞進行分類并確定優(yōu)先級。
Seeker還為以色列航空開發(fā)人員提供了代碼中漏洞的確切位置、修復(fù)建議和代碼執(zhí)行流程,以幫助他們快速修復(fù)漏洞。
在以色列航空部署Seeker交互式應(yīng)用安全測試
為了確保成功集成,以色列航空指派了其DevOps、安全、IT和開發(fā)團隊的成員與新思科技的項目負責團隊一起工作。以色列航空發(fā)現(xiàn)新思科技Seeker交互式應(yīng)用安全測試解決方案的部署既快速又高效,無需其它專業(yè)知識管理,Seeker即可提供實時結(jié)果。有鑒于此,以色列航空更改了其發(fā)布策略,在將任何應(yīng)用程序部署到生產(chǎn)之前,需要經(jīng)過Seeker進行安全測試。
以色列航空開發(fā)和集成負責人Claude Zribi評價道:“總的來說,我們發(fā)現(xiàn)Seeker比其它應(yīng)用程序安全測試工具更準確、更易于使用。 Seeker交互式應(yīng)用安全測試使我們能夠改善安全的開發(fā)流程,同時降低開發(fā)成本。 新思科技不僅能兌現(xiàn)承諾,而且物超所值,擁有可靠的產(chǎn)品和強大的團隊來支持Seeker解決方案的部署與應(yīng)用。 采用Seeker解決方案后,以色列航空可以快速地在我們的開發(fā)、測試和發(fā)布新軟件版本中應(yīng)用敏捷方法!