• Seeker交互式應用安全測試工具確保整個系統(tǒng)端到端遵守每個版本的安全標準。Seeker關注數(shù)據(jù)，提供關鍵數(shù)據(jù)要求的測試，例如PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標準）第6節(jié)中定義的要求。
• Seeker促進測試和開發(fā)團隊之間的溝通。每個漏洞都會自動鏈接到違規(guī)源代碼，并提供相關的補救建議。
• Seeker提升了安全編碼實踐的意識和增強了培訓。Seeker引導開發(fā)人員如何在自己的代碼中修復問題，方便他們學習安全的編碼實踐。

美國新思科技公司發(fā)布的Seeker是一套交互式應用安全測試（IAST）解決方案，其最新版本經過重新設計，以支持DevSecOps及持續(xù)交付安全的Web應用程序。Seeker在生產前測試周期無縫集成到CI/CD流程并監(jiān)控Web應用程序。憑借專利技術，Seeker是目前唯一能夠檢測并自動驗證是否有可被利用漏洞的應用安全解決方案，為開發(fā)人員提供實時準確、可操作的信息。

法國Parkeon公司選擇Seeker為其提供安全支付解決方案，本文將詳細介紹Seeker如何保障Parkeon公司支付系統(tǒng)安全。

業(yè)務概況及挑戰(zhàn)

法國Parkeon公司是城市交通領域的佼佼者，也是停車和運輸管理解決方案的全球供應商。 Parkeon在全球55個國家的3，000多個城市提供獨特的停車控制和支付服務。

Parkeon開發(fā)適用于所有銷售渠道的實時支付系統(tǒng) ，包括信用卡和借記卡、手機帳戶、預付卡、電子錢包以及接觸/非接觸式卡技術。這些解決方案部署在Parkeon自己的POS終端上，例如路邊停車收費表或“憑票停車”以及 “pay-on-foot自助機”停車場。

隨著電子商務和遠程（POS）安全漏洞頻發(fā)，Parkeon將應用程序的安全性提到最高水平，無論部署的地理位置在哪。

Parkeon的IT部門選擇了新思科技軟件質量與安全部門的交互式應用安全測試（IAST）工具Seeker，以驗證其主要電子票務和交易產品ArchiPEL的端到端安全性和PCI（支付卡行業(yè)）合規(guī)性。Parkeon之所以選擇Seeker，是因為它具有精確的漏洞檢測能力、PCI合規(guī)性檢測功能、可集成到開發(fā)流程集成，而且即使是沒有安全專業(yè)知識的開發(fā)人員和測試人員也可以輕松應用Seeker。

“我們選擇了Seeker交互式應用安全測試工具，因為測試人員和開發(fā)人員不需要投入時間或擁有專業(yè)知識來定期執(zhí)行安全任務。Seeker提供漏洞與受影響源代碼之間的關聯(lián)，從而節(jié)省開發(fā)人員的工作量。”

—Parkeon 公司管理業(yè)務服務部門首席信息安全官L. Porchon

解決方案評估

Parkeon構建完整的支付解決方案，幫助客戶集中電子支付流程。這兩項活動都要求整體解決方案架構符合行業(yè)中的標準和規(guī)范，例如PCI DSS。

Parkeon一直在使用動態(tài)應用安全測試（DAST）工具來驗證其集成環(huán)境中應用程序的安全性，但該解決方案并沒有完全符合他們的要求。

該應用程序采用敏捷開發(fā)方法開發(fā)，每季度更新五次。Parkeon需要一種工具，將安全驗證集成到現(xiàn)有的自動化流程中，并且非安全專家的開發(fā)人員和測試人員可以輕松操作。

部署及裨益

部署了新思科技軟件質量與安全部門的Seeker交互式應用安全測試工具，Parkeon公司獲得以下三大裨益：

首先，Seeker了解并驗證數(shù)據(jù)如何流經應用程序，確保整個系統(tǒng)端到端符合PCI DSS等安全標準。它還能識別與敏感數(shù)據(jù)影響相關的漏洞。

Seeker提供的測試有助于滿足PCI DSS第6節(jié)的要求。通過支付鏈的各個組件自動跟蹤關鍵數(shù)據(jù)（如信用卡信息），Seeker可以驗證是否存在漏洞，例如遺忘的調試數(shù)據(jù)、不安全的操作、不安全的存儲，甚至是暫時存在于文件或數(shù)據(jù)庫中，向第三方進行不安全傳播等潛在危險。通過Seeker，Parkeon可以自動確保整個系統(tǒng)符合每個版本的安全標準。

其次，Seeker通過將漏洞定位至源代碼庫中，促進測試和開發(fā)團隊之間的溝通。其它動態(tài)測試工具只是通過違規(guī)URL報告漏洞。Seeker與此不同，它可以自動將漏洞與代碼庫聯(lián)系起來，以確定哪里必須要進行修復。它將誤報減少至接近于零，精準定位易受攻擊的源代碼，并為開發(fā)人員提供面向測試應用程序量身定制的明確的補救建議。

通過采用Seeker，Parkeon提高了安全性，減少了在安全測試方面花費的時間，并且改善了安全和研發(fā)團隊之間的溝通效率：

• 開發(fā)人員將時間專注于經過驗證的漏洞以及Seeker所建議的源代碼更正上。
• 測試人員清楚地了解應用程序與OWASP Top10標準以及Parkeon公司安全標準相關的風險狀況。

第三，Seeker有助于提高安全意識，并且培訓開發(fā)人員按照OWASP Top 10的標準進行安全編碼實踐。通過解釋業(yè)務風險并提供詳細的、前后關聯(lián)的補救建議，Seeker幫助Parkeon的測試和開發(fā)團隊提升安全意識，并進行持續(xù)的培訓，從而提高了其代碼的安全性。

“Seeker交互式應用安全測試工具解決了我們集成和自動化的需求。它為用戶提供培訓和知識。Seeker是一套完美的工具，幫助我們提高安全實踐以構建杰出的軟件。”

—Parkeon 公司管理業(yè)務服務部門首席信息安全官L. Porchon

總結

新思科技軟件質量與安全部門的Seeker交互式應用安全測試工具無縫集成到Parkeon公司的安全自動化流程，確保其開發(fā)和測試團隊能快速、安全并且合規(guī)地發(fā)布產品，同時提高生產力和安全意識。