客户背景与挑战
客户是一家全球领先的汽车制造商,欧洲最大汽车生产者,拥有近100家生产工厂,致力于提供安全、环保且具竞争力的汽车产品。公司计划推出一款用于个人导航和车辆与智能手机连接的新移动在线服务,但在正式发布前需进行专业的安全评估,确保符合iOS和Android平台的安全要求。基于汽车行业合作伙伴的推荐,该公司委托SoftServe进行应用安全评估服务。
服务内容与流程
SoftServe提供定制化的安全评估流程,涵盖以下测试领域:威胁建模分析、静态代码测试、动态代码测试、手动渗透测试,并交付解决方案和报告。评估过程基于灰盒测试,分为三个阶段,由三名认证道德黑客(包括安全顾问和两名安全工程师)组成的专业团队在两周内完成。评估严格遵循OWASP指南和标准,包括OWASP应用程序安全验证标准、OWASP Top 10移动风险和OWASP风险评级方法,并使用IBM AppScan Source和Veracode等自动化工具进行代码分析和扫描。
测试领域
测试重点包括数据保护、认证、会话管理、访问控制、输入验证、输出编码/转义、密码学、错误处理和日志记录。
评估结果与建议
评估发现了一系列缺陷,导致应用程序不稳定且易受外部入侵。SoftServe团队针对移动应用程序、服务器端以及设计/逻辑方面提供了广泛的安全建议。此次评估是客户汽车管理模块硬件安全评估的第一步,由SoftServe作为战略网络安全服务提供商执行。
成果与价值
客户的初始移动应用程序存在稳定性问题,若未进行SoftServe的渗透测试,极易遭受黑客攻击,损害公司声誉。通过识别并解决安全漏洞,SoftServe团队成功阻止了潜在威胁,如对车载计算机的入侵,从而避免侵犯隐私、恶意误导甚至汽车事故的风险。
关于SoftServe
SoftServe是一家提供开放式创新服务的数字权威公司,总部位于欧洲和美国,并在加拿大设有分部。公司专注于赋能企业和软件公司,通过产生新想法、开发及实施变革性产品与服务,加速解决方案开发,并在数字经济中保持竞争优势。SoftServe在医疗保健、零售、媒体、金融服务、软件等领域拥有专业知识,提供端到端解决方案,确保创新、质量和速度。
