法國(guó)Parkeon公司托管企業(yè)服務(wù)部首席信息安全官曾經(jīng)表示：“我們選擇Seeker是因?yàn)闇y(cè)試人員和開(kāi)發(fā)人員不需要投入很多時(shí)間或者具備十分專業(yè)的知識(shí)就可以定期執(zhí)行安全測(cè)試任務(wù)。Seeker提供漏洞與受影響源代碼之間的關(guān)聯(lián)，從而減少開(kāi)發(fā)人員的工作量?！?/p>

近日，美國(guó)新思科技公司(Synopsys, Nasdaq: SNPS)的這套交互式應(yīng)用安全測(cè)試(IAST)解決方案推出了新版本。

Seeker最新版本經(jīng)過(guò)重新設(shè)計(jì)，以支持DevSecOps及持續(xù)交付安全的Web應(yīng)用程序。Seeker在生產(chǎn)前測(cè)試周期無(wú)縫集成到CI/CD流程并監(jiān)控Web應(yīng)用程序。憑借專利技術(shù)，Seeker是目前唯一能夠檢測(cè)并自動(dòng)驗(yàn)證是否有可被利用漏洞的應(yīng)用安全解決方案，為開(kāi)發(fā)人員提供實(shí)時(shí)準(zhǔn)確、可操作的信息。

權(quán)威獨(dú)立調(diào)研機(jī)構(gòu)Forrester Research首席分析師 Amy DeMartine表示：“有34%的開(kāi)發(fā)人員表示他們每天要進(jìn)行多次編譯或簽入操作，應(yīng)用程序安全測(cè)試必須在相同的時(shí)間范圍內(nèi)運(yùn)行，否則可能會(huì)使開(kāi)發(fā)機(jī)器停止運(yùn)轉(zhuǎn)。對(duì)于試圖以開(kāi)發(fā)速度測(cè)試安全性的企業(yè)來(lái)說(shuō)，動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）一直是一個(gè)負(fù)擔(dān)。”1

Seeker獨(dú)特的方式在緊密的“反饋回路”中持續(xù)降低應(yīng)用安全風(fēng)險(xiǎn)，補(bǔ)充在開(kāi)發(fā)周期后期進(jìn)行的DAST掃描和滲透測(cè)試。DAST掃描和滲透測(cè)試通常都需要專門(mén)的帶外數(shù)據(jù)測(cè)試以及手動(dòng)驗(yàn)證和分類結(jié)果。為解決軟件依賴風(fēng)險(xiǎn)，Seeker集成了Black Duck Binary Analysis分析工具（此前稱為Protecode SC），可自動(dòng)檢測(cè)開(kāi)源組件中的已知漏洞和許可證沖突。Seeker也是目前唯一提供敏感數(shù)據(jù)跟蹤的IAST解決方案，有助于達(dá)到行業(yè)標(biāo)準(zhǔn)及符合法規(guī)，包括支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)和《通用數(shù)據(jù)保護(hù)條例》(GDPR)等。Seeker開(kāi)箱即用，易于部署，支持大規(guī)模、基于云和微服務(wù)的應(yīng)用程序架構(gòu)。

新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理Andreas Kuehlmann 表示：“Seeker專為采用DevOps的企業(yè)而設(shè)計(jì)，并利用自動(dòng)化為客戶持續(xù)改進(jìn)軟件。由于其持續(xù)監(jiān)控，無(wú)與倫比的準(zhǔn)確性和有針對(duì)性的修復(fù)指導(dǎo)，Seeker刪除了安全測(cè)試的手動(dòng)元素，使開(kāi)發(fā)人員能夠掌控應(yīng)用風(fēng)險(xiǎn)?！?/p>

Seeker 2018.07的主要功能包括：

▲ 主動(dòng)漏洞驗(yàn)證，精準(zhǔn)度高。 Seekers提供自動(dòng)、主動(dòng)驗(yàn)證以確認(rèn)檢測(cè)到的漏洞是否可被利用，是目前唯一具備這項(xiàng)功能的IAST解決方案。此驗(yàn)證是通過(guò)獲得專利的技術(shù)實(shí)現(xiàn)的。該技術(shù)使用受污染的參數(shù)重放原始HTTP（S）請(qǐng)求，并監(jiān)視生成的應(yīng)用程序數(shù)據(jù)流。結(jié)果是誤報(bào)率接近于零，顯著低于其它IAST和DAST解決方案，并降低了人工驗(yàn)證的成本。

▲ 敏感數(shù)據(jù)跟蹤：Seeker是目前唯一一種允許安全團(tuán)隊(duì)識(shí)別和跟蹤敏感數(shù)據(jù)（如信用卡號(hào)，用戶名和密碼）的IAST工具，以確保安全處理并且不存儲(chǔ)在安全性低或者沒(méi)有加密的日志文件或數(shù)據(jù)庫(kù)中。敏感數(shù)據(jù)跟蹤可幫助企業(yè)遵守?cái)?shù)據(jù)安全法規(guī)，包括PCI DSS、HIPAA和GDPR。

▲  CI/CD集成和靈活部署：Seeker幾乎可以部署在任何類型的自動(dòng)或手動(dòng)測(cè)試環(huán)境中，只需要非常少的配置。Seeker可以通過(guò)本機(jī)插件和易于使用的Web API無(wú)縫地融入CI/CD流程，以便漏洞跟蹤、構(gòu)建和測(cè)試自動(dòng)化工具。Seeker支持標(biāo)準(zhǔn)的、基于微服務(wù)和云的應(yīng)用結(jié)構(gòu)，并可針對(duì)大型企業(yè)的需求進(jìn)行擴(kuò)展。