—Parkeon 公司管理業務服務部門首席信息安全官L. Porchon

解決方案評估

Parkeon構建完整的支付解決方案，幫助客戶集中電子支付流程。這兩項活動都要求整體解決方案架構符合行業中的標準和規范，例如PCI DSS。

Parkeon一直在使用動態應用安全測試（DAST）工具來驗證其集成環境中應用程序的安全性，但該解決方案并沒有完全符合他們的要求。

該應用程序采用敏捷開發方法開發，每季度更新五次。Parkeon需要一種工具，將安全驗證集成到現有的自動化流程中，并且非安全專家的開發人員和測試人員可以輕松操作。

部署及裨益

部署了新思科技軟件質量與安全部門的Seeker交互式應用安全測試工具，Parkeon公司獲得以下三大裨益：

首先，Seeker了解并驗證數據如何流經應用程序，確保整個系統端到端符合PCI DSS等安全標準。它還能識別與敏感數據影響相關的漏洞。

Seeker提供的測試有助于滿足PCI DSS第6節的要求。通過支付鏈的各個組件自動跟蹤關鍵數據（如信用卡信息），Seeker可以驗證是否存在漏洞，例如遺忘的調試數據、不安全的操作、不安全的存儲，甚至是暫時存在于文件或數據庫中，向第三方進行不安全傳播等潛在危險。通過Seeker，Parkeon可以自動確保整個系統符合每個版本的安全標準。

其次，Seeker通過將漏洞定位至源代碼庫中，促進測試和開發團隊之間的溝通。其它動態測試工具只是通過違規URL報告漏洞。Seeker與此不同，它可以自動將漏洞與代碼庫聯系起來，以確定哪里必須要進行修復。它將誤報減少至接近于零，精準定位易受攻擊的源代碼，并為開發人員提供面向測試應用程序量身定制的明確的補救建議。

通過采用Seeker，Parkeon提高了安全性，減少了在安全測試方面花費的時間，并且改善了安全和研發團隊之間的溝通效率：

• 開發人員將時間專注于經過驗證的漏洞以及Seeker所建議的源代碼更正上。
• 測試人員清楚地了解應用程序與OWASP Top10標準以及Parkeon公司安全標準相關的風險狀況。

第三，Seeker有助于提高安全意識，并且培訓開發人員按照OWASP Top 10的標準進行安全編碼實踐。通過解釋業務風險并提供詳細的、前后關聯的補救建議，Seeker幫助Parkeon的測試和開發團隊提升安全意識，并進行持續的培訓，從而提高了其代碼的安全性。

“Seeker交互式應用安全測試工具解決了我們集成和自動化的需求。它為用戶提供培訓和知識。Seeker是一套完美的工具，幫助我們提高安全實踐以構建杰出的軟件。”

—Parkeon 公司管理業務服務部門首席信息安全官L. Porchon

總結

新思科技軟件質量與安全部門的Seeker交互式應用安全測試工具無縫集成到Parkeon公司的安全自動化流程，確保其開發和測試團隊能快速、安全并且合規地發布產品，同時提高生產力和安全意識。