桌面应用程序的安全扫描

Question

我们公司开发Windows桌面应用程序。我们提供现成的解决方案，而不是定制开发。一个潜在的新客户希望在我们的标准合同中添加一个部分，要求我们使用“应用程序扫描”工具。他们特别提到了IBM的AppScan。然而，该工具似乎适用于web应用程序，而不是桌面应用程序。

我们的应用程序是使用Delphi (从Embarcadero以前的Borland很久以前)开发的。我们是一家小型的两家开发商商店。虽然我能理解为什么客户会想要这样的东西在合同中，我不知道我如何才能真正做到这一点。

是否还有其他“行业标准工具”，就像他们的合同语言所显示的那样？

这是否已成为ISV之间的普遍做法？

对于ISV是否有遵守这类安全审查要求的指导方针？我知道有许多站点用于安全编码实践(验证用户输入、缓冲区溢出、SQL注入等)。但是，我从来没有见过任何东西讨论如何编写一个安全评论，从而使最终用户相信程序员正确地完成了他们的工作。

下面是他们希望在合同中添加的内容：

x.x软件安全审查和测试。在提供此类组件的主要版本之前，将对被许可方根据本协议授权的软件的每个生产版本的应用组件执行安全扫描过程。这种安全扫描将由许可方使用IBM的AppScan应用程序扫描工具或另一种行业标准工具(“应用程序扫描”)来执行。供应商还将对核心产品的每一个主要版本(S)进行手工渗透测试(“渗透测试”)。供应商将按照协议规定的适用时间表对每个应用程序组件进行至少一年一次的应用扫描。供应商将向被许可方提供一份关于供应商最新应用程序扫描和AgWare软件渗透测试结果的报告，并与被许可方一起审核。

应用程序本身是一个标准的windows应用程序。它可以连接到Access数据库或SQL Server数据库，以便进行数据存储。显然，担心安全性的用户将使用Server。没有中间层--我直接从应用程序连接到Server。连接使用可信连接进行，所有数据访问都是通过存储过程进行的。

我可以理解在SQL数据库上运行某种类型的安全扫描器。也就是说，将验证一个表的东西没有留下广泛开放的访问权限。令人感兴趣的是，合同中没有涉及数据库。

我可能会按下这个问题，说AppScan不能在桌面应用程序上运行，并让他们从合同中删除该部分。然而，看到它，我想知道是否有任何桌面应用程序开发人员在他们的软件上运行任何类型的扫描仪。

Answer 1

Web应用程序扫描器很难成为所有web应用程序安全性的终结，仅仅运行现成的工具并不能解决不安全的应用程序的问题。话虽如此，桌面应用程序的安全影响在很大程度上取决于应用程序所做的工作。是服务器吗？它通过网络进行通信吗？它有数据库吗？

没有现成的应用程序可以解决这个问题。您需要雇用一位专业的安全分析员来检查这个应用程序，并且(很可能)手动测试它。

Answer 2

这显然是为了促进一个经过合理测试的应用程序。我对此有三点意见：

1. 首先，他们应该有自己的内部扫描程序(漏洞评估)，作为验收测试的一部分，他们将提供一个测试平台来运行您的程序。软件供应商可能选择拥有并开发自己的解决方案，但绝不能指望基于"n“个要求程序"n”变体的合同数量来扩展“现成的解决方案”--甚至DoD也认识到了这一点。
2. 这方面的开发必须在部署的环境中进行，否则就没有合理的“利用”图片。利用分析的目的是获取系统的漏洞，并在利用该漏洞时确定所造成的痛苦(即，查看实际的真实影响和潜在的损害)。当然，只有在部署的情景中才能真正评估这一点。
3. 他们认为软件的创建者是软件测试人员是符合他们最大利益的，这是这个客户的错误想法。这种情况一直发生在Q/A中，但为了真正的审计目的，绝对不应允许在安全方面这样做。他们需要有自己的人，或者更好的一个公正的第三方(让他们联系我:)来执行脆弱性和剥削分析。

Answer 3

我专攻应用程序安全。首先，应用程序很难在生产环境中进行测试。您通常会验证应用程序部署在测试环境中的漏洞，这些漏洞是在开发后部署的.

IBM很可能用于对桌面应用程序执行测试，就像用于测试AppScan应用程序一样，只要桌面应用程序使用的是HTTP或HTTPS。要实现这一点，您可以配置一个代理来侦听RFC 1918地址而不是回送，并将桌面应用程序部署到专用的VM中。将Windows中的internet选项配置为指向绑定代理的地址和端口。我建议Burp Suite胜过其他任何东西。

寻找入门的个人的信息通常可以在OWASP网站上找到。一个很好的起点将是OWASP测试指南v4，但是如果您想要通过某种标准来标记应用程序是安全的，请使用ASVS。

理想情况下，您希望在SDLC的所有阶段集成安全实践，并开发一个独立于实际SDLC的框架，称为Secure。安全- SDLC将有安全实践概述，应纳入SDLC的努力，根据需要。

否则，您可以只进行部署前笔式测试，但成本更高，因为您不可避免地会在SDLC中被踢回，以修复已识别的漏洞。PCI和可能的HIPPA指定了与创建安全的开发实践以及对应用程序运行自动化或手动测试相关联的需求，以便识别漏洞。