您的移动应用安全吗?
快速、经济、按需的移动应用安全测试

移动应用极易被别有用心者所利用。突破大多数移动应用所要求的技术门槛并不高,多达 96% 的攻击实际执行起来并不困难。

*来源 - 2012 Data Breach Investigations Report (DBIR),Verizon Business,2012 年 4 月

现在,惠普针对移动安全问题推出了一款解决方案

随着移动设备的迅速普及以及移动应用数量呈现爆炸式增长,企业无疑会面临重大的安全挑战。IT 安全团队对于现有问题已经力不从心,现在他们还需要负责移动应用的安全性问题,却往往苦于缺乏相应的资源和技能,在快速的移动部署模型中对风险进行全面的评估和评分。此外,移动应用极易成为黑客的恶意攻击目标,客户的私有数据将因此而面临泄露的风险。

HP Fortify on Demand 之所以能帮助您面对移动时代的各种挑战,得益于全面的移动安全解决方案以及作为托管服务交付所带来的额外优势—让 IT 团队卸下一切事情都要在内部解决的沉重包袱。

安全的移动开发

在编译过程中借助基本评估对代码进行分析,以找出漏洞并降低风险。可通过详细漏洞数据、代码行详细信息和修正建议,为开发人员提供强大的修复指导。

了解更多

端到端分析

对于标准和高级评估,我们将着眼于整个技术栈: 客户端、网络和服务器。如果在某一个组件 (如客户端) 中发现漏洞,则该漏洞可以运用在测试服务器的过程中,以便最真实地描绘出移动应用所面临的风险。

了解更多

信誉管理

通过完全集成的移动应用信誉管理图表板和数据库,企业可以开发和实施更加智能的自带设备 (BYOD) 策略。所有 Fortify 客户均可免费使用该服务。

了解更多

简而言之,将安全性构建到开发过程中所需的成本,要远远低于向已经处于生产状态的移动应用添加安全措施。
惠普移动调查研究
优势: 来自公认领军者的端到端移动安全测试

HP Fortify on Demand Mobile 采用三层式测试方法,确保您的移动应用得到安全的保护。借助云的优势,Fortify on Demand 将通过扩展性测试和安全性测试的专业技术以及名列 Gartner 魔力象限“领军者”行列的软件安全技术,来为您提供全面的移动应用安全解决方案。这些解决方案可由您进行管理,可让开发合作伙伴进行访问,并且可以和其他 HP Fortify 软件安全解决方案集成。

借助业界领先的应用安全测试技术以及由惠普作为后盾的专家安全研究,抓出移动应用中的安全漏洞。

在全部三个层面上找出和验证安全漏洞并确定其重要性,以业界最快的速度交付可执行的分析结果,让您每次都能够按时交付应用。

24 小时全年无休测试团队可对所有扫描进行检查和验证,专门的技术客户经理可起到推动项目的作用;将他们直接指定给企业,可使企业的安全投入如虎添翼。

借助 Fortify 的移动信誉数据库开发并推行自带设备策略,可与现有移动设备管理 (MDM) 和移动应用管理 (MAM) 解决方案实现良好集成。

移动应用安全测试

Fortify on Demand Mobile 可在更安全、更快速的推广策略下确保移动应用在开发、采购和发布等所有阶段中的安全性。

安全漏洞发现越早,修复漏洞所需的成本就越低。通过订阅我们可提供代码行修复建议的基本评估,使用常规静态代码分析帮助开发人员在应用生命周期的早期发现安全漏洞。

大部分渗透测试人员都饱受移动应用测试的折磨。然而,在我们的支持下,您只需在每次发布前上传您希望发布的应用二进制文件,我们的专家团队便会借助 OWASP Top 10 (针对标准和高级评估) 对您的应用程序进行全面审核,并删除误报。随后,我们会将相关的详细结果发布到您的 Fortify on Demand 租户图表板和可下载报告中。

对于通过第三方获得的应用,我们可以与您的供应商进行合作,确保您收到的应用是安全的。

静态评估  

应用风险

中/高

编程语言

超过 21 种*

上传文件大小

不限大小

漏洞类别

所有类别

合规报告

开源报告

审计复核

误报删除link

处理时间

1-2 天

ShadowOS 简介

ShadowOS 是一款帮助安全和 QA 团队测试 Android 应用,以发现安全漏洞的免费工具。这是一款基于 KitKat 的定制版操作系统,可对设备特定区域的操作进行拦截,以便使应用测试更加方便。ShadowOS 可监控 HTTP/HTTPS 流量、SQL Lite 查询和文件存取。了解更多并下载 ShadowOS。

移动应用风险管理

引入和使用第三方应用可能会降低企业基础设施的安全性。即便内部开发的移动应用也存在泄露敏感的雇员信息和公司数据的潜在可能。通过提供简便的方式分析移动应用并告知 MDM / MAM 政策,Fortify 使公司可以就其专有信息所面临的潜在威胁作出更多控制性举措。

关键功能:

  • 免费的信誉测试和行为分析,检查类别超过 18 种
  • 结合了自动和手动方式的二进制文件、源代码和动态测试
  • 专用的名誉图表板和数据库

信誉测试和数据库

Fortify 服务包含针对 iOS 和 Android 应用的免费隐私检查,涵盖公司自有的应用以及从应用商店部署的应用。如果某个应用不在我们的数据库中,可通过简单的流程进行请求 – 只需提供应用信息或上传二进制文件即可。借助星级评定,您可以轻而易举地根据自带设备策略创建智能白名单或黑名单。

行为分析

Fortify 的行为分析引擎是业界同类产品中最全面的。测试范围涵盖源代码、静态和动态测试向量,以此寻找恶意行为和隐私泄露。示例检查类别包括: 使用不安全的库、访问私有数据或将其写入不安全的日志和目录,以及在所有流量端点上进行信誉分析。