SAST + DAST静态与动态
依赖已检查也包括供应链风险
概念验证我们证明每个风险
我们也能修复修复,而不只是清单
我们的应用程序安全分析涵盖范围
我们从代码到运行中的应用对您的应用程序进行测试,找出攻击者可能利用的地方,并交给您一份按优先级排序的计划,或由我们修复。以下是我们涵盖内容的一部分:
静态代码分析(SAST)
对源代码进行自动和人工审查,查找漏洞和不安全模式。
动态测试(DAST)
运行时分析,捕捉仅在应用运行时出现的漏洞。
依赖与供应链
审查第三方库和软件包,查找已知和有风险的漏洞。
认证、会话与访问
导致账户被接管的认证、会话管理和授权缺陷。
注入与输入处理
针对 SQL 注入、XSS、命令注入及其他基于输入的攻击进行测试。
API 与数据安全
API 端点、速率限制、数据暴露,以及传输中和静态数据的加密。
我们的流程
1
静态代码审查
我们逐行分析您的源代码,查找安全缺陷、逻辑错误和不安全模式。
2
动态测试
我们测试运行中的应用程序,查找仅在执行时出现的漏洞。
3
依赖与供应链审计
我们审查第三方库和依赖,查找已知漏洞和许可证风险。
4
风险报告与修复计划
我们记录每项发现,并附上严重程度、影响和逐步修复说明。
5
修复与验证
如果您选择完整方案,我们将修复漏洞、加固代码与配置、把安全测试接入 CI/CD,并在 30 天后再次检查。
申请报价
请告诉我们您的应用程序情况。没有任何义务,只有来自我们英国工程团队的诚实技术建议。我们将在一个工作日内回复。
关于应用程序安全的常见问题
什么是应用程序安全分析?
这是对您软件进行的深入审查,以查找安全弱点:不安全的代码、易受攻击的依赖、认证与访问缺陷、注入点和 API 暴露。您将获得一份按风险分级的报告,附带概念验证示例和明确的修复方法。
SAST 与 DAST 有何区别?
SAST(静态分析)在不运行代码的情况下审查源代码;DAST(动态分析)测试运行中的应用程序,以捕捉仅在运行时出现的问题。我们两者并用,再加上人工审查,因为每种方法都能发现其他方法遗漏的问题。
你们只报告问题,还是能修复它们?
两种选项都有。分析方案提供报告;完整方案意味着我们修复漏洞、改进安全架构、加固配置、把安全测试加入您的 CI/CD,然后再次检查。
这是渗透测试吗?
有重叠,但更深入。渗透测试侧重于从外部利用运行中的应用;我们还从内部审查源代码、依赖和设计,从而找出仅靠黑盒测试会遗漏的根本原因。我们也可建议是否还值得另做一次正式的渗透测试。
你们会检查我们的第三方库和依赖吗?
会。供应链风险是泄露的主要来源,因此我们审计您的第三方库和软件包,查找已知漏洞以及有风险或已弃用的组件,并推荐安全的升级。
你们涵盖哪些平台和语言?
我们评估 Windows、Linux 和 macOS 上的应用程序,以及广泛的语言和框架,包括 Web、桌面、服务器和 API 后端。告诉我们您的技术栈,我们会在开始前确认契合度。
测试会干扰我们正在运行的应用程序或用户吗?
静态分析完全不会造成干扰。对于动态测试,我们优先使用预发布环境,如果必须在生产环境测试,我们会先与您约定方式和时间,以避免对用户产生影响。
你们如何对我们的代码和数据保密?
我们通过最小权限的安全访问开展工作,谨慎处理您的代码和凭据,并可在分享任何内容前签署保密协议。发现结果仅私下交付给您,绝不在别处披露。
需要多长时间?
取决于应用程序的规模和复杂度。在初步范围沟通后,我们会给出清晰的时间表,修复则根据发现结果另行安排。
你们能把安全测试集成到我们的流水线中吗?
可以。作为完整方案的一部分,我们可以把 SAST、依赖扫描和其他检查接入您的 CI/CD 流水线,使新代码自动接受测试,并在发布前发现问题。
我们会得到可向审计方或客户展示的东西吗?
会。报告记录了测试内容、风险评级、概念验证和修复措施,是用于安全问卷、尽职调查以及您自身客户的有用凭证。
报价流程是怎样的?
告诉我们您的应用程序情况并选择合适的选项。我们会进行评估,通常在一个工作日内向您发送范围固定的定制报价。免费且无任何义务。
相关阅读
关于测试、安全代码以及将安全融入交付流水线的指南。