数字应用安全平台DASP

业务痛点

一、缺少体系化支撑

开发安全工作涉及技术工具、流程、协作等多个方面，工作碎片化严重，安全人员缺少体系化支撑，开发安全工作难推进落地。

二、缺少安全需求设计

应用开发安全的建设需要涵盖应用安全的各个方面，包括漏洞问题、身份问题、数据问题等，缺乏安全需求体系化设计，安全人员疲于奔命式解决问题。

三、缺乏开发安全人才

企业缺乏安全开发专家，培养招聘成本高，无法有效支持安全开发工作的开展，业务推动进展缓慢。

平台介绍

深信服数字应用安全平台面向各行业数字化转型过程中的各类数字化应用，提供全生命周期的内建安全保护，覆盖应用的开发过程、承载环境及运行过程。平台提供一站式应用安全检测工具链AST，帮助用户快速洞察应用安全风险，平台通过aSecPaaS提供丰富的安全“生产资料”，通过安全左移的方式，实现在数字化应用开发构建阶段的默认安全加固，进而实现“上线即安全”。通过以下关键创新帮助用户真正实现安全与应用的同步规划、同步构建，实现应用内建安全，从源头上提高数字化应用的整体安全水平。

aSecPaaS介绍

为用户提供丰富的安全能力aSecPaaS，针对移动APP、WEB应用、小程序等多种应用模式，覆盖缺陷修复、数据安全、移动应用安全等多场景，在开发编码过程中勾选集成相应的安全SDK能力，快速实现应用安全需求的高效落地，大幅降低安全开发的人力投入成本。

一、应用自免疫系统

通过内嵌于应用的SDK和Agent，可以实现应用内部逻辑、参数执行、命令执行的可视，结合污点跟踪算法可以防止漏洞利用。通过将防护能力自身注入到应用程序中，与应用程序融为一体，实现应用自我实时监测、阻断攻击，实现自保护的能力。因技术原理上的可见性优势，可以有效避免0Day、攻击绕过等高阶攻击手法。

二、病毒抗体

针对应用中有文件上传的业务功能模块，通过调用病毒检测API，可对上传的文件进行病毒查杀、WebShell查杀，避免上传的文件存在恶意代码，导致上次后文件在下载时感染用户。

三、认证增强系统

"通过API方式，为应用提供用户账号登录多因素认证、鉴权、权限管控能力，满足等保合规相关要求，应用开发者只需要调用对应API即可完成账号体系的搭建，并且账号体系内的安全问题均由组件保障。

AST工具介绍

提供一站式的代码安全检测工具链，包括SAST/DAST/SCA/IAST等，实现开发过程中的风险识别，通过VPT漏洞赋值机制，降低对专业开发安全人才的依赖，让各行各业享受普惠的数字安全价值。

一、SAST （静态应用程序安全测试）

SAST对应用程序源代码执行直接的白盒分析，通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。

二、 IAST （交互式应用程序安全测试）

IAST通过在服务端部署Agent程序，收集、监控Web应用程序运行时函数执行、数据传输，并与扫描器端进行实时交互，高效、准确的识别安全缺陷及漏洞，同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。

三、SCA （软件成分分析）

SCA是一种对二进制软件的组成部分进行识别、分析和追踪的技术。专门用于分析开发人员使用的各种源码、模块、框架和库，以识别和清点开源软件(0 SS)的组件及其构成和依赖关系，并识别已知的安全漏洞或者潜在的许可证授权问题。

核心优势

应用场景

一、应用软件安全检测场景

用户要求提供软件应用安全检测报告及软件应用SBOM，而应用软件代码安全检测告警多，误报高，开发人员难以分析修复。

1、多引擎扫描工具箱：集成SAST/SCA/DAST/SCA等能力，多引擎关联分析，MPV漏洞优先级排序，一键输出应用安全检测报告；

2、在线代码安全咨询：人机共智，精准研判，减少误判，给出有效代码修复措施。

二、应用安全一站式加固场景

多方监管力度加强，漏洞通报问题频发；专业安全开发人员不足，漏洞问题修复费时费力，老版本软件漏洞问题无法修复，影响公司品牌形象。

1、应用漏洞防通报SDK：一次性解决应用漏洞问题，可防止漏洞扫描工具的检测扫描，避免通报；

2、应用漏洞热修复SDK：快速修复漏洞，快速解决供应链安全问题。

三、应用数据安全保护场景

基于《数据安全法》等合规要求，应用运营者担心应用数据泄露影响用户，且对外应用数据容易被灰黑产爬虫爬取；敏感个人数据未脱敏、未加密，导致个人数据泄露。

1、应用数据安全SDK：加密脱敏能力保障应用数据安全，提高应用竞争力和品牌信任度；

2、个人隐私风险检测：快速发现个人隐私保护问题，大幅降低个人隐私数据合规风险。