评估你购买的软件的安全性
Veracode供应商应用程序安全测试
在整个供应商环境中管理安全评估
商业应用程序平均有83个漏洞,但采购团队在评估购买时的风险却很少,增加了组织的安全性和审计风险。 PCI DSS,NIST SP 800-161,FS-ISAC和MAS等法规要求评估软件供应链风险。供应商的自我评估调查问卷仅仅是检查框,渗透测试是耗时且昂贵的。当供应商必须提供对其源代码的访问时,评估第三方软件更具挑战性,许多人将其视为机密知识产权。
Veracode Vendor Application Security Testing(VAST)为管理第三方软件风险提供了可扩展的程序。根据十年的最佳实践构建您的程序,以确保成功,并看到每个供应商应用程序的简单通过或失败。因为Veracode扫描二进制而不是源代码,所以供应商将更加放心评估,因为它们不必披露其知识产权。使用Veracode,您无需添加专门的人员数量和在单个平台上管理整个程序就可以扩展程序。
Veracode Vendor Application Security Testing
根据十年的最佳实践建立您的计划
过去十年来,Veracode已经为数千家组织提供了应用程序安全计划。我们与您一起制定一项策略,以便联系您的独立软件供应商(ISV),定义合规性策略,其中包括自动和手动测试方法的混合,并使其符合标准。一旦您根据我们经过验证的流程与您的软件供应商联系,我们将处理其余的计划管理,包括与供应商的后续跟踪,评估以及删除任何障碍来符合规定。如果您已经有供应商评估计划,我们可以帮助您改进和扩大。
查看哪些供应商遵守您的公司政策
无论公司政策多么复杂,您都可以看到每个供应商应用程序的简单通过或失败,包括静态和动态扫描,软件组成分析和手动渗透测试。报告包括一个包含所有开源和商业组件的材料清单,当发现了高知名度的开源漏洞时,您能够快速评估您的组织暴露在哪里。政策可涵盖需要评估软件供应链风险的若干规定,包括PCI DSS,NIST SP 800-161,FS-ISAC和MAS。
通过扫描应用程序二进制文件来减少供应商的阻碍
软件供应商不愿意分享其应用程序的源代码,因为他们认为它们是机密的知识产权。 Veracode的专利技术扫描二进制代码,因此ISV不必与第三方共享源代码。因为Veracode在其基于云的平台中进行应用扫描,软件供应商不能通过调整扫描参数以符合策略来对系统进行博弈。
在单个平台上管理整个程序
您的整个程序通过Veracode Application Security Platform进行管理,该平台为您提供了所有供应商的合规状态。该平台有助于促进软件供应商Veracode之间的协作,跟踪进度和结果。除了看到简单的通过/失败之外,您还可以访问每个应用程序的详细报告。分析您的应用程序环境,并获取平台上所有应用程序的漏洞的全局视图。