|
背景
随着企业信息安全形势内部威胁的加强,这个奖项是面向在金融部门IT安全项目有卓越认识的企业。Veracode安全审查,基于订阅的应用程序安全性测试解决方案,巩固Barclay的安全实践的利用,使得他们能够管理自己和客户的风险状况。这是唯一的按需服务的安全检查是,可用来测试内部开发的应用程序,商业现成的软件,为远离潜在的软件漏洞所开发的应用程序。
商业挑战
作为全球领先的金融服务机构之一,Barclays银行跟它的许多同行一样,在很大程度上依赖第三方商业软件和外包服务提供商,以帮助推动其核心银行系统。应用程序的漏洞和安全漏洞非常稳定地上升。据Gartner介绍,75%新的攻击以应用程序为目标,软件漏洞一直保持地非常高——去年发现7000个漏洞。在这样的背景下,Barclays有理由关注这些第三方供应商所产生的潜在的安全问题,并决定采取积极的态度应对软件安全。
项目目标
银行决定寻找一个应用程序安全解决方案,能够帮助Barclays创建安全阈值,针对供应商提供的商业现成应用软件和外包代码。除了实施安全的最佳实践到任何新的应用程序的购买,Barclays银行还决定对现有的合作关系建立安全准则,即使是在现有的合同没有明确界定安全性的最佳做法作为一项义务范围。在这种情况下,巴克莱的挑战是建立一个联合经营案例,这将为所有有关各方表现出双赢。由于银行不想承担在分析和审查第三方源代码的潜在的责任问题,Barclays需要找到一个解决方案,可以没有限制地调用,并快速,持续,全球地推出基于国际标准的广泛的生态系统。
项目团队
巴克莱选择Veracode安全审查,一个按需服务的应用程序安全,帮助测试内部开发的应用程序、商业现成的软件、离岸代码和开源应用程序,来检查潜在的软件漏洞。这是市场上唯一提供“SaaS”订阅的基础的代码审查的服务。最初的项目范围涉及Veracode为20个第三方厂商提供完全的自动化测试和安全审计。按需服务不需要硬件、软件、训练、维护,因此Barclays能够以最少的资源把握整个项目。
解决方案和结果
启动项目,Barclays迅速确定金融服务软件应用程序试点供应商之一作为项目战略供应商。由于Veracode是唯一可以检查软件可执行文件(二进制代码)的供应商,外部供应商能够上传代码到Veracode的按需代码保证平台,不会要求源代码和其他的知识产权。这绝对是一个突破。Veracode在72小时内进行完全自动化的分析,并以字母等级从A(最好)至F(最差)的形式,为每个应用程序指定安全等级,以确定供应商提供的应用程序的安全级别。 Veracode的评价建立在内部建立行业标准的基础上,如常见弱点枚举(CWE),常见漏洞评分系统(CVSS)和国家标准与技术研究所(NIST www.plcs.cn)。这三个标准有助于围绕漏洞类型,评分和每个应用程序的业务关键性提供文档。
巴克莱银行和所有正在接受评估的供应商的一个关键好处是,Veracode的评级制度提供了一个共同的、一致的基准,可以清楚地确定安全风险等级和阈值,还可以随着时间的推移,跟踪进展情况。
在Barclays的案例中,银行决定第三方应用程序必须达到一个预先定义的最低评级,以满足软件的验收标准。
除了提供高级别的安全评级,Veracode交付非常详细的修复路线图给软件供应商,以帮助勾勒出实现软件保证的路径。这个修复路线图是基于软件漏洞的优先级列表,根据修复的缓解和严重程度排名。在路线图的基础上,试点供应商在两周内,修复那些在最初分析报告中测试到的缺陷,重新提交应用程序进行另一次扫描,以获得一个在Barclay的代码接受范围内的得分。
由于最初项目的成功,Barclays银行现在推出方案计划,进一步扩大到数十家第三方供应商和外包服务提供商。此外,Barclays银行现在转向使用Veracode 安全审查,对内部开发的软件执行安全审计,使银行获得所有应用程序的安全态势的整体视图,无论他们是否是内部开发,离岸开发或购买现成的。没有其他的服务是能够扫描整个代码库,并清晰地提供这样的广阔视野和独立的指标。
Barclays客户评价
“Veracode快速地赢得了巴克莱银行,我们的客户和我们第三方供应商的认可。”
麦克莱恩.朗达
“他们的安全审查产品已经帮助Barclays银行和它的软件供应商以一个非常有效的的方式处理扫描大量而艰巨的代码中的各种任务。”
RhonDA MACLEAn
Barclays全球安全主管
全球零售和商业银行
“Veracode的评级制度和修复路线图提供了非常有意义的数据,不仅帮助我们的软件供应商修复明显的缺陷,而且也是问题的根源。巴克莱银行的净结果是快速循环改善应用程序的安全,这对我们的客户来说是一个明显的利益。”
RhonDA MACLEAn
Barclays全球安全主管
全球零售和商业银行
“不是试图改变银行和我们供应商中的过程,Veracode“SaaS”模式使得我们以最小的资源快速的执行并获得结果。.同时,我们已经交付了可衡量的价值给我们的业务和我们的客户,应对不断增长的挑战和迅速变化的威胁环境。”
RhonDA MACLEAn
Barclays全球安全主管
全球零售和商业银行
|