Veracode 提供了一種整體的,可擴展的方式來管理整個應用程序組合中的安全風險。我們是唯一可以在一個集中式視圖中提供所有測試類型(包括SAST,DAST和手動滲透測試)的應用程序狀態可見性的解決方案。

 

Veracode 靜態分析

(SAST,Static Application Security Testing)

 

Veracode靜態分析向IDE和管道中的開發人員提供快速,自動的安全反饋,並在部署之前進行全面的策略掃描,以確保符合行業標準和法規。它針對要關注的問題以及如何更快地解決它們提供了明確的指導。通過基於SaaS的引擎掃描的14萬億行代碼,結果無需手動調整即可獲得高精度。Veracode的DevSecOps計劃可幫助組織自動化安全反饋,與開發保持一致以減少安全負擔,並通過最佳實踐和按需專業知識幫助擴展到更多應用程序。

* 在發佈軟件之前,策略掃描會以審核合規性目的完成對代碼的完整評估,以達到合規目的–平均掃描時間為8分鐘。

* 憑藉10多年的經驗和6萬億行代碼掃描,我們擁有不到5%的業界領先的誤報率,而無需進行規則調整或人工審核-這意味著您可以專注於修復實際的安全缺陷。

無需調整或抑制規則,這意味著您不會錯過任何實際的缺陷,也不需要為每個掃描的應用程序完成手動過程,業界領先極低的1.1%誤報率,已在數千種應用程序上得到客戶的驗證。

 

 

Veracode 動態分析

(DAST,Dynamic Application Security Testing)

 

* 降低Web應用程序的風險

Veracode動態分析具有同時測試數千個應用程序的能力,不到1%的誤報率以及完善的補救指南,可幫助團隊迅速降低其Web應用程序遭到破壞的風險。

* 用可行的數據進行補救

Veracode Dynamic Analysis提供了有關應用程序如何響應攻擊以及如何加以利用的上下文。結果與易於遵循的修復建議相結合,因此開發人員可以快速修復漏洞。

* 掃描非公開應用

內部掃描管理是一個安全的網段,使客戶能夠掃描無法從Internet直接訪問的應用程序,例如測試或暫存中的實例或內部應用程序。

* 與構建過程集成

Veracode Dynamic Analysis可與Jenkins等構建系統集成,或通過API觸發,以自動掃描執行或生產中的應用程序。

 

 

 

 

Veracode 交互式應用程式安全分析

(IAST,Interactive Application Security Testing)

 

 

*在不增加時間的情況下查找漏洞

Veracode交互式分析(IAST)通過將安全性嵌入其開發過程中並直接集成到其CI / CD管道中,可以幫助團隊在運行時立即發現其應用程序中的漏洞。Veracode Interactive Analysis使用開發團隊已經創建的質量檢查測試活動為您提供零誤報的可行結果,從而確保開發團隊發布高質量,安全的應用程序。

*什麼是交互式應用程序安全測試(IAST)?

IAST利用開發團隊已經在部署過程中構建的QA測試環境來分析正在運行的應用程序的代碼是否存在安全漏洞。IAST利用大量質量檢查活動(例如煙霧測試,單元、功能和手動測試)來執行應用程序。

僅僅依靠QA活動可能會使您面臨違規的風險,因為大多數開發團隊無法確保他們的應用程序具有100%的測試腳本覆蓋率。同類最佳的IAST解決方案還應該提供替代方法來全面測試應用程序。例如,利用動態搜尋器將練習Web應用程序的所有部分,甚至QA活動可能錯過的區域,這將更好地滿足安全團隊的覆蓋範圍需求。

 *快速,高質量的結果,誤報率為零

通過在運行時嵌入到應用程序中,Veracode Interactive Analysis能夠提供零誤報的結果。通過評估正在運行的應用程序,Veracode Interactive Analysis觀察並報告了攻擊者可能利用的實時漏洞。這有助於團隊確定高關鍵性結果的優先級,因為一旦執行質量檢查活動,就會立即通知開發人員。

 *保護您的API

Veracode Interactive Analysis使測試內部和外部API的過程自動化。我們通過利用現有的功能測試來使用API​​來實現此目的,因此沒有額外的步驟及訓練。這意味著您的團隊可以及早並經常掃描您的API,以確保它們不會成為您應用程序或後端系統中可被利用的媒介。 

 

 

 

Veracode Discovery 管理網路攻擊面

 

  

 

*無法保護未知的應用

Web應用程序是網絡攻擊者用來訪問敏感數據的頂級攻擊媒介之一。但是安全團隊通常甚至不知道其組織的許多Web應用程序的存在。Veracode Discovery幫助組織管理這種難以捉摸的Web攻擊面。

*Web地圖攻擊面

Veracode Discovery可以識別每個Web應用程序,而不僅僅是識別已知IP範圍內的Web應用程序。利用域和品牌關鍵字等多種輸入,Veracode Discovery提供了最全面的Web應用程序列表。

*輕鬆設置掃描

組織可以單獨使用Veracode Discovery,也可以與Veracode Dynamic Analysis集成使用,以簡化對發現資產的掃描。這種組合使安全團隊可以優先確定應首先修復的漏洞。

*減少攻擊面

借助Veracode Discovery,組織可以定期發現可以關閉的不受管理的網站,從而減少了攻擊面和運營成本。

 

 

 

 

Veracode Manual Penetration Testing 滲透測試

 

 

將自動測試與熟練的滲透測試儀相結合,可以大大降低風險。

沒有確保應用程序組合的安全狀態的靈丹妙藥。而是需要多種測試類型。某些類別的漏洞無法通過自動測試檢測到,需要有經驗的滲透測試人員來識別它們。

 

*超越自動化測試

滲透測試可以發現自動評估無法實現的漏洞類別,例如授權問題和業務邏輯缺陷。

*綜合結果

我們的滲透測試人員將其經驗與靜態,動態和軟件組成分析自動掃描相結合,以更好地將手動工作集中在應用程序的特定領域。

*所有結果集中在一處

借助Veracode,自動評估和手動評估的結果都可以存儲在一個地方,從而可以全面了解組織的應用程序清單的風險狀況。

*符合合規要求

許多監管機構要求進行滲透測試以符合法規要求,包括PCI DSS,HIPAA,GLBA,FISMA和NERC CIP。

*測試整個管道

Veracode DevOps滲透測試是對開發週期的手動安全測試,而不僅僅是應用程序。此服務測試基礎架構的強度,外部網絡的安全性以及開發人員的安全實踐。

 

 

關於Veracode

 

 

我們的願景

Veracode設想了一個從一開始就安全開發能夠推動我們的經濟增長和解決社會最大挑戰的軟件的世界。

 

OUR PEOPLE

與Veracode一起使用,您可以與業內一些頂尖的安全專家聯繫。這些專家可以為構建可伸縮程序提供戰略建議,幫助您執行程序,並在發現缺陷時提供補救指導。

 

招賢納士

保護為您的世界提供動力的軟件是一項巨大的工作。我們每天都專注於這項任務。應用程序安全性不是我們業務的一部分,而是我們唯一的業務。這是我們所做任何事情的原動力。在Veracode,我們激發了創新文化,並將創造力注入到我們的所有計劃中。