【范亮】应用安全测试是高质量软件的重要保障-范亮.pdf

1、国际软件质量工程国际软件质量工程International Software Quality Engineering1应用安全测试是高质量软件的重要保障应用安全测试是高质量软件的重要保障范亮应用安全解决方案架构师Opentext企业安全产品资深技术顾问2023/2/2422022 iSQE 攻击者已经从基础架构级别转移到应用程序级别攻击者已经从基础架构级别转移到应用程序级别2应用层的攻击被视为正常的流量，可顺利通过网络，外围，数据和端点安全系统。应用安全缺乏开发人员安全培训日益增长的攻击面，软件开发技术日益繁杂加速发布减少了用于应用安全性的时间基础设施安全高度成熟大量投入系统比以往任何时候都更

2、安全应用安全安全功能安全功能身份和访问管理身份和访问管理网络边界安全网络边界安全避免绕过应用层基础设施/网络层受控的访问32022 iSQE 将安全防护“左将安全防护“左移”移”容器安全容器安全开源安全开源安全整个软件开发生整个软件开发生命周期关注安全命周期关注安全API 安全安全其他安全趋势目前应用安全的主要趋目前应用安全的主要趋势势4不应该只考虑自身应用程序的安全，而是要放眼整个软件供应链安全。42022 iSQE 应用安全测试需要集成、自动化和敏捷应用安全测试需要集成、自动化和敏捷4在“安全左移”的发展趋势下，应用程序安全需要贯穿整个软件开发生命周期集成自动化 实现应用程序安全性 将应用

3、安全嵌入到SDLC工具链中 提供快速的洞察力和结果 提供相关问题的修复建议，实现快速修复 通过自动化实现应用安全 跟踪安全缺陷作为SDLC的一部分敏捷52022 iSQE 业界最主流的应用安全测试技术和最佳实践业界最主流的应用安全测试技术和最佳实践5上线上线保护和监控运行在生产中的软件应用测试测试/QA将可伸缩的安全性测试嵌入到开发工具链中开发开发以DevOps的速度对开发人员的桌面提供持续的反馈集成和自动化集成和自动化RASP 连续监控和防护连续监控和防护SAST静态分析静态分析&SCA开源组件分析开源组件分析DAST动态分析动态分析&IAST交互式分析交互式分析62022 iSQE 应用安

4、全测试应用安全测试领域领域的主流产品的主流产品672022 iSQE SCAFortifyFortify应用全生命周期安全测试解决方案应用全生命周期安全测试解决方案7PlatformIDECIoudCl/CDGitDAST/IASTSAST专业服务专业服务sSoftware 应用安全漏洞研究应用安全漏洞研究全面的应用安全测试为企业业务发展保驾护航全面的应用安全测试为企业业务发展保驾护航Web应用应用移动应用移动应用IaC 基础架构即代码基础架构即代码容器容器微服务微服务API嵌入式应用嵌入式应用软件供应链软件供应链支持支持本地部署、本地部署、SaaS及及混合模式混合模式82022 iSQE IREBIREB-需求工程认证TMMiTMMi-测试过程改进ISTQBISTQB-软件测试体系IQBBAIQBBA-业务分析领域的认证A4QA4Q联盟认证体系UXQCCUXQCC-用户体验认证中心Thank you Thank you 国际软件质量工程国际软件质量工程International Software Quality Engineering9