數字應用安全平台DASP

業務痛點

缺少體系化支撐

開(kāi)發(fā)安全工作涉及技術人員、工具、流程、協作等多個方面(miàn)，工作碎片化嚴重，安全人員缺少體系化支撐，開(kāi)發(fā)安全工作難推進(jìn)落地。

缺少安全需求設計

應用開(kāi)發(fā)安全的建設需要涵蓋應用安全的各個方面(miàn)，包括漏洞問題、身份問題、數據問題等，缺乏安全需求體系化設計，安全人員疲于奔命式解決問題。

缺乏開(kāi)發(fā)安全人才

企業缺乏安全開(kāi)發(fā)專家，培養招聘成(chéng)本高，無法有效支持安全開(kāi)發(fā)工作的開(kāi)展，業務推動進(jìn)展緩慢。

 

 

平台介紹

深信服數字應用安全平台面(miàn)向(xiàng)各行業數字化轉型過(guò)程中的各類數字化應用，提供全生命周期的内建安全保護，覆蓋應用的開(kāi)發(fā)過(guò)程、承載環境及運行過(guò)程。平台提供一站式應用安全檢測工具鏈AST，幫助用戶快速洞察應用安全風險，平台通過(guò)aSecPaaS提供豐富的安全“生産資料”，通過(guò)安全左移的方式，實現在數字化應用開(kāi)發(fā)構建階段的默認安全加固，進(jìn)而實現“上線即安全”。通過(guò)以下關鍵創新幫助用戶真正實現安全與應用的同步規劃、同步構建，實現應用内建安全，從源頭上提高數字化應用的整體安全水平。

 

aSecPaaS介紹

 

提供一站式的代碼安全檢測工具鏈，包括SAST/DAST/SCA/IAST等，實現開(kāi)發(fā)過(guò)程中的風險識别，通過(guò)VPT漏洞賦值機制，降低對(duì)專業開(kāi)發(fā)安全人才的依賴，讓各行各業享受普惠的數字安全價值。

SAST （靜态應用程序安全測試）

SAST對(duì)應用程序源代碼執行直接的白盒分析，通常在編碼階段分析應用程序的源代碼或二進(jìn)制文件的語法、結構、過(guò)程、接口等來發(fā)現程序代碼存在的安全漏洞。

IAST （交互式應用程序安全測試）

IAST通過(guò)在服務端部署Agent程序，收集、監控Web應用程序運行時函數執行、數據傳輸，并與掃描器端進(jìn)行實時交互，高效、準确的識别安全缺陷及漏洞，同時可準确确定漏洞所在的代碼文件、行數、函數及參數。IAST相當于是DAST和SAST結合的一種(zhǒng)互相關聯運行時安全檢測技術。

SCA （軟件成(chéng)分分析）

SCA是一種(zhǒng)對(duì)二進(jìn)制軟件的組成(chéng)部分進(jìn)行識别、分析和追蹤的技術。專門用于分析開(kāi)發(fā)人員使用的各種(zhǒng)源碼、模塊、框架和庫，以識别和清點開(kāi)源軟件(0 SS)的組件及其構成(chéng)和依賴關系，并識别已知的安全漏洞或者潛在的許可證授權問題。

 

 

核心優勢

強效果

通過(guò)應用缺陷運營、需求落地運營等維度，大幅度提高應用安全水平，關鍵模塊設計性風險識别率提升60%，常規安全漏洞識别率上升到80%，實現安全左移。

易落地

基于安全需求全流程管理和默認安全的aSecPaaS能(néng)力，幫助開(kāi)發(fā)快速高效落地開(kāi)發(fā)安全的工作，大幅減少開(kāi)發(fā)安全工作和需求跟進(jìn)工作，安全落地更輕松。

可生長(cháng)

在漏洞閉環基礎上，提供多達20多種(zhǒng)安全PaaS能(néng)力，能(néng)力持續疊加，覆蓋全場景需求，不斷沉澱企業自身沉澱企業自身開(kāi)發(fā)安全組織能(néng)力。

 

 

應用場景

 

應用軟件安全檢測場景

用戶要求提供軟件應用安全檢測報告及軟件應用SBOM，而應用軟件代碼安全檢測告警多，誤報高，開(kāi)發(fā)人員難以分析修複。

一、多引擎掃描工具箱：集成(chéng)SAST/SCA/DAST/SCA等能(néng)力，多引擎關聯分析，MPV漏洞優先級排序，一鍵輸出應用安全檢測報告；

二、在線代碼安全咨詢：人機共智，精準研判，減少誤判，給出有效代碼修複措施。

應用安全一站式加固場景

多方監管力度加強，漏洞通報問題頻發(fā)；專業安全開(kāi)發(fā)人員不足，漏洞問題修複費時費力，老版本軟件漏洞問題無法修複，影響公司品牌形象。

一、應用漏洞防通報SDK：一次性解決應用漏洞問題，可防止漏洞掃描工具的檢測掃描，避免通報；

二、應用漏洞熱修複SDK：快速修複漏洞，快速解決供應鏈安全問題。

應用數據安全保護場景

基于《數據安全法》等合規要求，應用運營者擔心應用數據洩露影響用戶，且對(duì)外應用數據容易被灰黑産爬蟲爬取；敏感個人數據未脫敏、未加密，導緻個人數據洩露。

一、應用數據安全SDK：加密脫敏能(néng)力保障應用數據安全，提高應用競争力和品牌信任度；

二、個人隐私風險檢測：快速發(fā)現個人隐私保護問題，大幅降低個人隐私數據合規風險。