เว็บแอปพลิเคชันต้องเผชิญกับภัยคุกคามด้านความปลอดภัยที่เพิ่มขึ้นทุกวัน โชคดีที่แพลตฟอร์มทดสอบความปลอดภัยของแอปพลิเคชัน เช่น HCL AppScan มีการพัฒนาอย่างต่อเนื่องเพื่อรับรู้ช่องโหว่ใหม่ๆ แต่ด้วยทีม DevOps ที่ปล่อยโค้ดในอัตราที่เร็วขึ้นและเร็วขึ้น เวลาที่ใช้ในการแก้ไขปัญหาอาจกลายเป็นจุดเจ็บปวดที่สำคัญได้ การจัดลำดับความสำคัญของปัญหาที่ต้องแก้ไขนั้นมีความสำคัญมากขึ้นเรื่อยๆ เมื่อเผชิญกับผลการทดสอบที่ล้นหลามในบางครั้ง
HCL AppScan ทำให้กระบวนการนั้นง่ายขึ้นและมีประสิทธิภาพมากขึ้นโดยใช้ อัลกอริธึม Auto Issue Correlation ใช้ประโยชน์จาก โซลูชัน IAST (การทดสอบความปลอดภัยแอปพลิเคชันเชิงโต้ตอบ) ที่มีอยู่ใน ข้อเสนอ AppScan Enterpriseและ AppScan on Cloud โซลูชันการรักษาความปลอดภัยเหล่านี้ยังรวมถึงเครื่องมือ DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing) และ Auto Issue Correlation ทำให้ใช้งานได้ทั้งหมด
เครื่องมือทดสอบแต่ละเครื่องมีจุดแข็งและจุดอ่อน ต่างกัน แต่ Automatic Issue Correlation จะดึงจุดแข็งเมื่อดูข้อมูลทั้งหมดร่วมกัน ตัวอย่างเช่น ในขณะที่ DAST ส่งมอบผลลัพธ์ที่แม่นยำมาก ไม่สามารถดูโค้ดและให้ระดับรายละเอียดที่คุณได้รับจากการสแกน SAST และ IAST แต่ด้วยความสัมพันธ์กัน คุณสามารถใช้การสแกน SAST และ IAST เพื่อยืนยันและเพิ่มคุณค่าการค้นพบผลลัพธ์ DAST ของคุณ
ในทำนองเดียวกัน SAST สามารถสร้างการค้นพบจำนวนมาก ทำให้ยากต่อการรู้ว่าสิ่งใดควรจัดลำดับความสำคัญสำหรับการแก้ไข แต่ความถูกต้องแม่นยำของการสแกน IAST และ DAST เมื่อวางซ้อนบนผลลัพธ์ของ SAST จะสร้างปัญหาย่อยๆ ที่สำคัญอย่างชัดเจน ซึ่งตอนนี้ง่ายต่อการแก้ไขทั้งหมดในคราวเดียว
นอกจากนี้ การแก้ไข SAST ไม่สามารถตรวจสอบได้เนื่องจากนักพัฒนา “อยู่ในกรอบ” และมองเฉพาะโค้ดที่แตกต่างจาก DAST และ IAST หากปัญหาสามารถยืนยันได้ว่าได้รับการแก้ไขแล้วโดยสัมพันธ์กับกลไกเพิ่มเติมเหล่านี้ในรูปแบบของการอัปเดตสถานะ ผู้ใช้จะได้รับการตรวจสอบการแก้ไขเพิ่มเติมจากความครอบคลุมทั้งหมดและเวลาในการสแกนสั้นๆ ที่มีอยู่ใน SAST
ตัวอย่างแดชบอร์ด AppScan ที่แสดงการสแกน ปัญหาที่พบ และความสัมพันธ์
ความสัมพันธ์ของปัญหาอัตโนมัติจะดึงข้อมูลจากปัญหา IAST, DAST และ SAST แต่ละรายการ จากนั้นใช้ฮิวริสติกที่หลากหลายเพื่อระบุความสัมพันธ์ วิธีนี้ช่วยลดจำนวนช่องโหว่และงานแก้ไขโดยรวมได้อย่างมีประสิทธิภาพด้วยการจัดกลุ่มปัญหาต่างๆ เข้าด้วยกัน ซึ่งสามารถแก้ไขได้อย่างรวดเร็วและสมบูรณ์ หากเครื่องมือทดสอบทั้งสามเครื่องพบปัญหาที่เกี่ยวข้องกัน—IAST, DAST และ SAST—จะย้ายไปที่ด้านบนสุดของรายการเพื่อทำการแก้ไข ลำดับถัดไปคือปัญหาที่สัมพันธ์กันจาก IAST และ DAST หรือ IAST และ SAST หลังจากนั้นลำดับความสำคัญจะย้ายไปที่ปัญหาที่พบโดย IAST หรือ DAST และเมื่อทำการแก้ไขทั้งหมดแล้ว นักพัฒนาสามารถไปยังปัญหาที่เหลืออยู่ที่ SAST ค้นพบได้เท่านั้น
หากสนใจติดต่อมาที่เรา KTNBS
