APPLICATION SECURITY

Application Security: Bảo mật ứng dụng và tích hợp DevSecOps

Bộ giải pháp chuyên dụng giúp đảm bảo an ninh, tối ưu hóa bảo mật và chất lượng cho ứng dụng trong DevOps và CI/CD Pipeline của tổ chức. Bộ giải pháp chi tiết bao gồm:

  • Static Application Security Testing – SAST (Coverity – Synopsys): Rà quét, đánh giá bảo mật cho mã nguồn (source code) của ứng dụng, giúp định danh và xử lý sớm lỗ hổng bảo mật của ứng dụng từ bước lập trình. Tích hợp với chu trình SDLC đảm bảo an toàn cho ứng dụng trong suốt chu trình phát triển phần mềm.
  • OpenSource & Binary Analysis – SCA (Black Duck – Synopsys): Rà quét, định danh lỗ hổng bảo mật của các mã nguồn mở (open source) được sử dụng trong mã nguồn ứng dụng / ứng dụng (binary), docker & container. Tích hợp chặt chẽ với CI/CD workflow cho DevOps.
  • Dynamic Application Security Testing – DAST (InsightAppSec – Rapid7/ Whitehat DAST – Synopsys): Rà quét, định danh lỗ hổng bảo mật của ứng dụng web trong môi trường chạy thật (Production). Cung cấp thông tin chi tiết về lỗ hổng và các biến thể tấn công (theo cách mà Attacker/Hacker khai thác lỗ hổng), khả năng tạo báo cáo động (Live Report) cho phép Security Engineer / Developer có thể replay Attack / Validate xem lỗ hổng đã được sửa chữa chưa từ file báo cáo mà không cần rà quét lại, giúp đơn giản hóa trong việc sửa chữa và xác minh lỗ hổng bảo mật.
  • Interactive Application Security Testing – IAST (Seeker – Synopsys): Tự động kiểm tra và định danh lỗ hổng bảo mật trong ứng dụng production (với mức chính xác tương đương near-zero false positive), xác minh khả năng lỗ hổng có thể bị khai thác hay không và cung cấp hướng dẫn sửa chữa chi tiết tới vị trí dòng code gây lỗ hổng. Tích hợp với CI/CD workflow cho DevOps.
  • Fuzz Testing (Defensics – Synopsys): Giải pháp / framework Blackbox fuzzer chuyên dụng (với hơn 300 pre-built fuzz testing suites), cho phép tổ chức dễ dàng và nhanh chóng khám phá các lỗ hổng Zero-day tiềm ẩn trong phần mềm. Dưới đây là một số các phát hiện Zero-day nổi tiếng được định danh thông qua sử dụng Defensics của Synopsys.

Application Security: Bảo mật ứng dụng và tích hợp DevSecOps

  • Application Security Orchestration & Correlation – ASOC (Synopsys – CodeDX): Giải pháp quản lý tập trung lỗ hổng bảo mật cho ứng dụng trong suốt chu trình phát triển và vận hành phần mềm. Tự động thu thập thông tin kết quả đánh giá từ các công cụ SAST, SCA, IAST, DAST, Manual pentest, … phân tích tương quan, loai bỏ các false positive và khuyến cáo ưu tiên sửa chữa lỗ hổng. Tích hợp 2 chiều với ticketing giúp quản lý lỗ hổng hiệu quả.