是什么移动应用安全测试(桅杆)?

自动移动应用程序安全性测试通常使用软件工具使用一个或多个技术分析软件来检测潜在的漏洞。成本效益和开发团队可以容易和频繁运行的检测安全问题,所以他们可以尽快纠正。自动化工具的影响最小的软件开发生命周期(SDLC)和很容易集成到CI / CD的过程。自动化测试会有更广泛的应用程序代码的覆盖率和发现其测试的数量。

渗透测试,其中结合了手动和软件技术通常由第三方执行,在特定的点在SDLC,通常在最后。其中可以用来满足监管要求和通常是集中与非常具体的目标。它可以是昂贵的,耗时的,往往是很少。

众包应用程序安全性测试,如虫赏金计划,还可以用于移动应用安全测试。这些第三方软件可以用来补充其他安全实践但不应该取代他们。

通用软件测试工具可能已经在使用您的组织,和安全过程的一部分。

这些工具往往是针对web应用程序进行了优化。因此,他们往往缺乏的深度分析和定制发现特定的移动应用程序的威胁。移动开发者应该评估他们的应用程序安全性测试工具,以确保它有一个强烈关注移动应用程序的威胁,包括考虑OWASP移动前十和OWASP移动安全测试指南。

开源工具可以提供一个很好的选择为开始使用应用程序测试。在评估这些工具,一些重要的注意事项包括:

他们可以很容易地集成到您的开发过程;他们支持跨团队协作;需要付出多少努力使用它们;有多容易理解他们的结果;什么是他们的误报率;如何完成他们的报道;他们更新解决新的和不断变化的威胁;他们使用什么风险对项目;以及这些工具维护的社区?

移动应用有独特的风险。例如,配偶(man-at-the-end)攻击向量,攻击者将加载应用程序在本地设备使他们获得专门的工具,时间和资源来检查和逆向工程应用程序,让他们访问硬件和移动软件。

这些威胁特有的移动应用程序通常不是由通用应用程序安全测试工具。选择一个安全测试工具,是一家专业从事移动应用和构建移动应用程序开发者可以获得相关的关键,可操作的结果。

开发团队一贯的过量使用和资源不足,真正改善周围的安全控制构建移动应用,组织必须确保自动化安全测试工具不添加一个额外的工作负载和适应他们的开发人员的现有的工作流。工具应该快,提供可操作的结果或建议,直接融入SDLC。

标准的关键是确保可以自动分析。这使团队能够持续监控代码的安全性配置文件的状态和快速看到变化从一个构建。提交和发布,引入新的漏洞可以很快发现,本地化和纠正。