靜態(tài)應(yīng)用安全測試(SAST)工具(也稱為白盒測試)可供有權(quán)訪問應(yīng)用程序的源代碼、字節(jié)代碼或二進(jìn)制文件的人使用���。它能識(shí)別應(yīng)用程序中的潛在漏洞�����,例如程序正在使用不受信任的數(shù)據(jù),并在沒有任何形式的驗(yàn)證和/或編碼的情況下將其視為可信��。黑盒測試用于正在運(yùn)行的應(yīng)用程序,在這個(gè)過程中不易發(fā)現(xiàn)的漏洞可以被 SAST工具檢測出來。
4.???? 手動(dòng)安全測試自動(dòng)化工具有一定的局限性,這就是為什么需要補(bǔ)充手動(dòng)安全測試的原因�����。例如���,自動(dòng)化工具可能無法檢測到邏輯和設(shè)計(jì)缺陷���,這時(shí)候就需要手動(dòng)代碼審查和滲透測試,用來識(shí)別和解決這些問題���。
5.???? 專業(yè)人員與培訓(xùn)計(jì)劃軟件是一個(gè)團(tuán)隊(duì)協(xié)作開發(fā)的結(jié)果。開發(fā)過程中的所有參與者都應(yīng)在安全方面獲得充分的信息和培訓(xùn)���,從而在整個(gè)軟件開發(fā)生命周期(SDLC)中推動(dòng)安全計(jì)劃進(jìn)展��。推行安全計(jì)劃不能只靠軟件開發(fā)人員,還需要了解常見漏洞和核心安全概念的質(zhì)量保證(QA)團(tuán)隊(duì)和項(xiàng)目經(jīng)理����。 QA團(tuán)隊(duì)?wèi)?yīng)該能夠進(jìn)行基本的安全測試工作���。
創(chuàng)造具有安全意識(shí)的環(huán)境和培養(yǎng)這樣的團(tuán)隊(duì)意味著在SDLC早期就能發(fā)現(xiàn)安全問題�,并且在其成為沉重負(fù)擔(dān)前解決掉。
總結(jié)金融服務(wù)機(jī)構(gòu)受到高度的監(jiān)管�����,應(yīng)用程序運(yùn)行環(huán)境復(fù)雜���。市場日新月異����,維持應(yīng)用程序安全是一項(xiàng)有挑戰(zhàn)的任務(wù)����。但部署安全系統(tǒng)及在SDLC早期(即“左移”)采取安全舉措可以為金融服務(wù)機(jī)構(gòu)提供堅(jiān)實(shí)的軟件安全保障��。
