start portlet menu bar end portlet menu bar
Success Stories Filter
Success Stories Search
Restful
Commerce Retail
DX Insurance
PD Hook
Novotex Italiana
Nolte Kuchen
Exacto enables smart data
dryice-enables-automated
Penn Vet
Credit Union
Streebo
HCL AppScan IT Customer Story
KUHN
Iperceramica
Türk Telekom
Health Insurance Company
HCL AppScan Telecommunication
Marzotto Sim
HCL Accelerate IT
HCL Volt MX Insurance Demo
Global Marketing and CPG
VELCO
ESM
Elektronabava-1
Electric Utility Company
CyFIR
Cyber Security
Corlett-Wellstone
Ambleglow
AIS | HCL Software
A1 Telekom
afrisam paves Backup
Swiss Red Cross
Arvid Gjerde
Vössing spurs efficient
acubiz story
business running
TATA AIA Insurance
Global Information Technology
Power Metal
Augusta
SG Digital
State of Ohio
Verve
Afrisam Paves
vcc
bcbst
Constance Hotels Case Study
World Vision
National Retailer
Global Safe Travel
Volt MX State of Ohio
WWE
Volt MX Government
Anonymous Retail Customer Story
Bonnell Aluminium
Firepro Systems
HCL Volt MX
Onetest-Casestudy
Accelerating Casestudy
DX Bank
dryice-reduces-vm
dryice-german-energy
dryice-reduced-server
Exacto kicks automation into overdrive
Exacto Learn how Husqvarna mowed-down
HCL AppScan Education
Airline Case Study
Connectria
Low Code Chemical
Australian Energy company
Rheavendors Group
Malayala MANORAMA
Higher Education Logo Page
Al-Futtaim
Volt MX Government Services
Volt MX Utility Water
DX Edison
DX Ipiranga
VMX Pestcontrol
South Seas Data
Lufthansa
US State Government-1
Top Global Manufacturer
Wavestrong Partner Success Story
Z Home Auto Insurance
Mondelez International
Processo de implantação de configuração zero
Processos existentes alavancados no SDLC
Registros detalhados de vulnerabilidade de segurança

Indústria: Tecnologia da Informação
Produtos: HCL AppScan
Região: América do Norte / EUA

Desafios de Negócios

Nosso cliente enfrentou os seguintes desafios de negócios:

  • Melhorar a proteção de segurança de seus produtos sem interromper o processo SDLC atual.
  • Reduzindo a probabilidade de um problema de segurança que poderia atrasar o envio de novas versões.

Solução

Integre o IAST ao processo de QA existente do cliente e aproveite os testes automáticos, manuais e de integridade para estender a cobertura do Application Security Testing (AST) e transformar DevOps em DevSecOps.

Resultados

Cobertura AST aprimorada e processos de correção, devido a registros informativos de problemas de segurança, como pilhas de chamadas completas e exemplos de exploração que são relatados pelo agente IAST.

Ficamos surpresos com o processo de implantação. Esperávamos algo mais complicado do que implantar um arquivo WAR em nosso Tomcat!

Equipe de DevOps do gerente técnico

Read the full story

Caso de negócios para IAST

A empresa já estava utilizando o DAST como parte de seu SDLC, principalmente nos estágios finais. Essa prática comum forneceu bons resultados, mas tinha várias desvantagens:

  • Quando uma vulnerabilidade de segurança significativa foi descoberta, isso causou um atraso no lançamento, uma vez que o DAST foi introduzido como uma das últimas etapas antes que uma nova versão fosse enviada. Os esforços de remediação para vulnerabilidades de segurança foram elevados devido às informações menos detalhadas do scanner DAST.
  • Houve um intervalo de tempo significativo entre a gravação do código e a descoberta de vulnerabilidades.

 

 

Integrando IAST

A empresa possui um amplo processo de Garantia de Qualidade (QA) devido ao tamanho e à complexidade de sua base de código. O processo de controle de qualidade inclui testes automatizados e manuais que variam de cenários de sanidade simples a casos extremos complicados. Cada nova versão também adicionou mais funcionalidade, então mais testes foram introduzidos no processo de controle de qualidade.

A infraestrutura de controle de qualidade é baseada em Docker e orquestrada usando Jenkins. Como a equipe não queria alterar seus contêineres existentes, eles decidiram integrar o IAST usando um script simples que utiliza APIs do AppScan para fazer download e implementar o agente no servidor da web, depois que os aplicativos forem construídos e publicados com sucesso.

 

Efeitos

Um benefício significativo que os desenvolvedores relataram instantaneamente foi a quantidade de informações contidas nas vulnerabilidades de segurança. Ter a linha de código que originou o problema, junto com um exemplo de exploração que o desencadeou, reduziu significativamente os esforços de correção. Como o processo de controle de qualidade é adjacente ao processo de desenvolvimento, as alterações de código que resultaram em novas vulnerabilidades de segurança estão frescas na mente dos desenvolvedores ao se aproximarem para resolver problemas de segurança.

Outro benefício relatado pela equipe de segurança foi a redução de problemas detectados na varredura DAST, uma vez que o processo de controle de qualidade agora ajudava a resolver os problemas mais cedo no SDLC.

Do ponto de vista da manutenção, as equipes de Segurança e DevOps ficaram impressionadas, pois a integração do agente IAST requer apenas um único script simples e o próprio agente é perene (o que significa que ele é atualizado automaticamente). Outra grande coisa é que a equipe de QA pode continuar adicionando novos testes para cada nova funcionalidade que desenvolve, mantendo a cobertura AST atualizada a cada nova versão. O processo continua melhorando como um subproduto do próprio SDLC.

A quantidade de informações que recebo por problema é benéfica para o processo de priorização e correção.

Arquiteto de Sistema

About the Company

Devido à natureza sensível do domínio da segurança cibernética, a empresa solicitou o anonimato neste estudo de caso específico. A empresa é uma empresa de software no mercado de TI e que atende SMBs e grandes empresas.

A pilha de tecnologia usada neste estudo de caso é:

  • Java
  • Tomcat
  • Docker
  • Jenkins
baixar história

Para saber mais sobre como o IAST pode beneficiar sua organização, leia e compartilhe nosso white paper informativo

white paper