【HCL AppScan】如何用较少的资源扩展应用程序安全测试

大环境

在这充满挑战的时期，无论公司位于何地或经营何种行业，都遭受到了巨大的财务损失。全球正在经历着诸多不确定性和恐惧。为了应对眼前的金融危机，一些公司正在做出艰难的裁员或放长假决定。

大多数公司都会通过软件应用程序来运行关键业务流程，与供应商进行交易以及向客户提供服务。虽然这些公司会利用安全技术进行网络业务、外围保护、身份和数据保护等日常任务，但他们在实施、管理和维护有效的应用程序安全专案方面遇到了很多困难。

黑客会利用无效的应用程序安全专案，使得这些应用程序的漏洞成为网络战的主要威胁之一。 不安全的应用程序可能会造成严重的后果。应用程序开发过程中存在的安全漏洞，可能会为黑客破坏应用程序的稳定性并不受限制地访问公司的机密信息和客户隐私数据提供一种途径。此类数据丢失可能会导致品牌声誉受损、消费者信心丧失、业务运营中断、供应链中断、法律诉讼威胁和监管失职等问题。解决应用程序安全问题非常具有挑战性。大型公司管理着成千上万个应用程序，而其安全性通常由一个不堪重负的小型安全团队负责。因为开发人员需要保持测试覆盖率，如今的环境只会给这些安全团队带来更大压力。

在此期间，HCL AppScan 可以通过采用更有效的测试覆盖率来帮助公司降低规模成本。

市场调研

应用程序的安全趋势

应用程序的安全性是首席信息安全官们（ CISO） 关注的第一大领域（调查了 630 家公司）；

应用层存在 33% 的安全漏洞；

90% 的应用程序都存在已知的安全缺陷；

平均 34 天修补一次漏洞；

1/6的开源下载请求用于包含已知漏洞的组件；

64% 的受访者对其移动应用程序的安全性表示担忧；

63% 的受访者将停机时视为首要关注点。

常见的业务挑战

合规性 – 全球各地的政府和行业都制定了公司为保护其数据和敏感信息必须遵守的法规，这些法规包括 PCI-DSS、GDPR、HIPAA、Sarbanes-Oxley (SOX) 等。许多公司也有应用程序在投入生产之前开发团队必须遵循的内部安全规则和策略。 

各公司应自己考量：

•我的业务在哪些方面存在风险？

•如何为我的应用程序安全设置测试策略？

•利用应用程序是否会暴露我的敏感数据？

满足开发需求 –随着物联网的扩展，应用程序变得越来越重要，应用程序通过物联网已与我们进行交互的所有设备交织在一起。各公司都会通过不断改进用户体验来支持其客户和合作伙伴的生态系统。为了能够在一定期限内交付，这种创新要求将给开发团队带来巨大的压力。 

各公司应自己考量：

•我们如何在快速DevOps/Agile 商店内测试应用程序的安全性，同时又不会减慢开发流程和我们的交付进度？

•我们如何降低应用程序的成本并在其寿命周期内尽早发现安全问题，这些问题从哪里修复最方便？

缺乏资源、技能和人员 – 针对当前的环境，开发人员想要跟上其应用程序测试的步伐和覆盖率，但缺乏技能和资源将为安全团队带来更多挑战。应用程序安全团队规模较小，但需要测试的应用程序数量可能在 1,000 ~30,000 之间，甚至更多。这正是将规模较大的开发机构纳入安全流程的重要考量原因。通过让开发人员参与安全性测试，有助于扩展应用程序并提供更出色的保护能力。

各公司应自己考量：

• 基于目前拥有的资源，我们如何对工作的优先级进行排序？• 我们应对哪些应用程序进行测试，测试应达到什么样的程度？• 为了能够扩展测试，我们应如何安排人员并提高他们的技能和意识？

应用程序安全的客户具有四个典型的业务驱动因素

应用程序安全保护的驱动因素通常与这些业务原因保持一致，并应注意以下问题：

>经济高效地保护公司的软件资产安全•使用可扩展的成本模型改进 AppSec 并保护相关业务；•您当前的方法是否能够提供最低的总体拥有成本 (TCO)？

>提高安全软件的交付速度

•实现快速安全的软件交付 = DevSecOps

•应用程序安全测试是软件交付的促进因素还是阻碍因素？

>减少泄露风险

•通过减少泄露的可能性来保护敏感数据

•您是否采取足够的措施来降低泄露风险？

>达到为客户提供保护的监管合规要求

•证明符合GDPR、PCI-DSS、SOX、HIPAA、NYDFS等公司要求和监管要求，以及/或OWASP Top 10 & SANS 25等

行业标准要求；

• 您是否有内部应用程序安全策略？

扩展测试的好处

节省资金 - 与在生产过程中发现相同问题的成本相比，将安全测试集成到软件开发寿命周期的早期阶段可将成本降低 7 倍。在寿命周期的早期阶段推进应用程序安全测试需要开发团队的积极参与和自动测试。开发和质保团队已经实现了性能和功能测试的自动化，因此我们希望鼓励这些用户将应用程序安全性添加到他们的测试工作中并实现自动测试。

供应商整合 - HCL Appscan 提供了市场上最全面的应用程序安全测试类型。我们可提供动态测试、源代码扫描、开源测试和交互分析，这些测试模式都是我们 V10 版 AppScan 的组成部分。整合供应商可以降低 S&S 成本，并且还可以提供类似的用户体验，因此资源不足的团队无需学习使用不同的工具。

利用人工智能 – 针对这些团队面临的资源挑战，我们必须提供快速准确的扫描，以节省时间并避免因误报/漏报而止步不前。 AppScan 是全球市场上第一家将机器学习应用于静态分析扫描的供应商。利用这项创新，使误报减少了 99%，每年可以为安全和开发团队节省数千小时的工作时间。

结论

综上所述，应用程序的安全性应成为贵公司的重要优先事项。当前的经济状况只会给不堪重负的应用程序安全团队带来更大压力。 AppScan 提供了全球市场上最全面的应用程序安全测试解决方案，并采用了有助于提供快速、准确、敏捷测试的创新，从而可为您节省相当可观的时间和成本。