Zoopla转向Rapid7 InsightAppSec来帮助数百名开发人员保护他们的应用程序

挑战

Uzakov和他的安全团队每天面临的最关键的挑战是为开发人员提供服务. “We’re a staff of three; there are just not enough of us to support hundreds of developers.”

Uzakov负责指导Zoopla开发人员完成应用程序安全测试过程. 作为产品和技术团队的一员，他专注于应用程序和基础设施安全. 他和开发人员一起工作, 进行培训, 并帮助他们将安全工具嵌入到他们的流程中，以确保在向公众发布新功能和产品之前对其进行安全测试.

解决方案

考虑到开发人员的数量，只有高度规模化和自动化的方法才有效. Uzakov曾在Rapid7 InsightAppSec工作过, Rapid7安全套件的一部分, 提供动态应用程序安全测试(DAST). 即便如此，他还是试用了这个工具，以确保它符合Zoopla的具体要求. 他的团队进行了测试, 根据Zoopla的价格标准评估和比较了几种appsec工具, 供应商提供的功能和支持级别. 他们选择InsightAppSec是因为它满足了他们的所有要求.

授权开发人员，简化补救

Zoopla团队使用InsightAppSec将安全测试自动化作为开发过程的一部分. 它使他的团队能够自动评估现代web应用程序和api，减少误报和遗漏的漏洞. 他们可以通过丰富的报告和集成快速跟踪修复，并通知法规遵从性和开发涉众. 而且他们可以通过评估应用程序组合的安全性来轻松地进行扩展, 不管它的大小. InsightAppSec还使他们能够扫描web应用程序，以识别SQL注入等漏洞, XSS, 和CSRF.

“我们试图帮助每个人，但我们不可能无处不在，”乌扎科夫说. “我们开始使用Rapid7 InsightAppSec，这样我们就可以在更大范围内影响我们的组织. “它的界面很直观，不需要太多培训, 所以我可以给开发人员访问InsightAppSec的权限，让他们自己做安全测试.”

加强与所有利益攸关方的协调

“我们的工作深受其他部门的影响, 无论是法律还是IT, 以及我们的外部客户, 所以我们尽量避免在竖井里工作,乌扎科夫解释道. “有一件事很有帮助，那就是公众意识. 我们正在工程会议上向开发人员展示InsightAppSec. I explain what it can help with; what it can do, 和 what it cannot do.“开发商的反应非常积极. 事实上，有几个团队已经要求在他们的项目中嵌入InsightAppSec.

节省时间和金钱

InsightAppSec还为Uzakov和他的团队提供了一种更有效的渗透测试方法, 节省时间和金钱. “我们对AppSec采取的方法之一是投资于投资回报高的领域. 通过使用InsightAppSec模拟对我们应用程序的攻击，我们能够在渗透测试之前识别漏洞. 这允许我们通过在之前修复问题和集中更多的注意力来减少渗透测试的范围."