源碼檢測 / 動態黑箱檢測服務

簡介

應用系統靜態/動態黑箱檢測服務為軟體即服務(Software-as-a-Service,SaaS),針對網頁或應用程式,提供組織或企業快速、精準、經濟的評量應用程式風險弱點的解決方案。本服務利用Gartner評價的優質原始碼掃描工具(Static Code Security Testing)及黑箱工具(Dynamic Application Security Testing),產出檢測報告,讓您了解自身應用系統或網站是否安全、是否容易被駭客攻擊成功。

為何需要源碼檢測/動態黑箱檢測服務

  • 根據Gartner研究,75%安全弱點來自應用系統
  • 根據NIST (美國美國國家標準及技術研究所)研究,92%的安全漏洞存在於軟體中
  • 資安問題頻傳,包括網頁遭置換、駭客透過網頁(不安全的應用程式)竊取資料

源碼檢測/ 應用系統靜態檢測(Static Code Security Testing)服務

服務特色

  1. 需取得完整原始碼(source code),且檢測工具須支援該開發語言
  2. 從根本出發,針對應用系統或網頁靜態掃描,找出已知或潛在的安全漏洞問題(例如是否隱含SQL、Cross-Site Scripting等攻擊機會)
  3. 檢測弱點檢測覆蓋率高,可輕易知道從何下手與修改
  4. 可針對客戶需要提供法規遵循報表(如OWASP Top10、PCI、SANS/CWE Top 25)
  5. 報表列出掃描弱點,並將弱點嚴重等級分類,以利排定修復優先順序
  6. 報表提供詳細說明、直指不安全的程式檔發生於那支程式,以利修改

服務流程

  1. 客戶提供應用系統檢測標之原始碼
  2. 叡揚提供工具,將原始碼掃描分析
  3. 產出報表
  4. 資安顧問依掃描報表進行解說,並提出建議改善方式(選購項)

應用系統動態檢測(Dynamic Application Security Testing)服務

服務特色

  1. 無需取得網站程式碼,且與開發程式語言較無關係
  2. 可檢測動態執行的安全問題
  3. 可檢測系統環境的安全問題
  4. 模擬駭客攻擊的手法,以無害的方式使用運行中的Web應用系統,判斷系統是否存在各種安全性問題
  5. 屬黑箱測試(Black-box Testing),直接對運行中的Web應用程式進行檢測,而非對原始碼進行分析,較貼近實況且誤判率較低
  6. 可針對客戶需要提供法規遵循報表(如OWASP Top10、ISO 27001(ISMS)、PCI等)
  7. 報表列出掃描弱點,將弱點嚴重程度分類,以利排定修復優先順序
  8. 報表提供詳細說明、成因及修復方式

服務流程

  1. 客戶提供應用系統檢測標的
  2. 叡揚提供工具,執行黑箱檢測
  3. 產出報表
  4. 資安顧問依掃描報表進行解說,並提出建議改善方式(選購項)

應用系統靜態/動態黑箱檢測服務優勢

  • 節省軟體首次購買、維護(MA)成本
  • 節省設備成本:無須另外準備硬體、機房設備
  • 節省人力成本:無須專職人員管理工具、IT人員無須學習工具操作

聯絡我們

如您對本公司資訊安全解決方案欲進一步了解,歡迎您透過以下方式與我們聯絡:

電話:02-2586-7890 ext:500

Email:gss_iss@mail.gss.com.tw