Quokka (Kryptowire) 提升App安全分析，支援多種法規與CI/CD工具

原文連結：Kryptowire提升App安全分析，支援多種法規與CI/CD工具｜iThome 產品快報

智慧型手機是現代人生活與工作不可或缺的通訊與協作工具，而上面執行的行動 App，更是我們能否使用各種服務的重要介面，如今也成為許多駭客、惡意軟體作者覬覦的主要目標，因此持續執行相關的資安檢測，及早發現軟體漏洞，也就能更快著手進行後續的修補與緩解作業。

關於因應這方面需求的解決方案，在一年多前，我們曾介紹叡揚資訊引進臺灣的行動App資安檢測平臺Quokka (Kryptowire) ，當時就已經支援多種公部門與組織推動的相關標準，舉凡美國國家資訊安全保障合作組織（NIAP）、美國國家標準暨技術研究院（NIST）、OWASP MASVS、歐盟 GDPR，而以臺灣本地的法規遵循要求而言，Quokka (Kryptowire) 在 2020 年 5 月底發布的 2.3.0 版，也開始支援經濟部工業局推動的行動應用 App 基本資安檢測基準 V3.0。

就整體功能而言，Quokka (Kryptowire) 目前可提供多種全自動的應用程式安全性檢測方式，包含：靜態分析（亦即靜態程式碼安全檢測，又稱為白箱測試），動態分析（亦即動態程式碼安全檢測，又稱為黑箱測試），以及互動式分析、二進位碼分析（Binary Analytics），而不需要耗費人力去介入處理過程，能夠加速安全性與隱私保護的測試，以便更快找出各種已知與未知的行動 App 資安漏洞。

經過 10 年的發展，目前他們針對 iOS 與 Android 這兩大行動應用程式平臺，總共提供 15 到 20 種分析引擎，都是由該公司的研究員與開發者所設計出來的，可廣泛涵蓋並深入各種測試情境，用戶只需透過單一平臺即可驗證行動 App 的安全性，不需要運用、切換多種產品來達到測試要求。

此外，Quokka (Kryptowire) 也能整合到企業既有的工作流程，協助開發團隊與企業資安團隊，提升行動 App 的安全性與個人隱私保護，都可以透過單一的自動化工作流程來進行測試。

在軟體的持續整合／持續交付（CI/CD）的作業流程上，這套資安檢測平臺支援多種工具，像是 Jenkins、GitHub，提供外掛程式，在 2.40 版當中，他們也針對這類型雲端服務 Azure DevOps，提供擴充套件。

產品資訊

Quokka (Kryptowire) 2.40
●代理商：叡揚資訊
●建議售價：廠商未提供
●應用程式安全檢測類型：黑箱測試
●可檢測的應用程式作業系統平臺：iOS、Android
●解決方案部署形式：SaaS雲端服務、整合應用設備
●遵循標準：NIAP、HIPAA、GDPR、OWASP MASVS、PCI、NIST、工業局行動應用App基本資安檢測基準V3.0
●使用介面多國語言切換：英、中、日、德、越

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】