作为一体化的商务平台,Shopify使任何人都可以在任何地方开始,运行和发展业务。总共有超过1,700,000个企业 - 在175个国家 - 使用Shopify统称超过2770亿美元的销售额。
Shopify使第三方能够为其平台开发应用程序 - 允许添加功能和功能。现在在Shopify App Store中提供了数千种此类应用程序 - 此增长导致了不断增加的安全测试需求。为了缩放其测试过程,Shopify已实施自动扫描和bepaly下载软件 。这允许它以规模提供有效的安全性。
Leanne Shapton是Shopify的应用程序安全工程师。
Leanne确定了许多使用Burp Suite Enterprise Edition购置收益的主要优势:
Burp Suite Enterprise Edition可以在数千个合作伙伴应用程序中进行购物以自动执行动态Web应用程序安全测试beplay体育能用吗。
Burp Suite Enterprise Edition可以找到常见的Web安全漏洞,如beplay体育能用吗跨站点请求伪造(CSRF)和跨站点脚本(XSS)。
Shopify的Appsec团队已经熟悉使用Burp Suite Professional.对于手动安全测试,因此使用Burp Suite Enterprise Edition进行自动化是自然的进展。
在第三方应用程序的情况下,Shopify的测试制度的主要部分涉及检查常见的Web安全漏洞,如CSRF和XS。beplay体育能用吗撰写为所有合作伙伴应用程序提供此类测试。
随着其Appsec测试需求的增长,Shopify已经远离手动安全测试模型,在审查合作伙伴应用程序时升压自动化。谈到自动化漏洞检查,如上所述,购物选择了基于云的实现bepaly下载软件 。
Shopify的AppSec团队使用自己的自定义Ruby应用程序来执行许多安全测试(例如SSL验证,HMAC验证,端口扫描等) - 以及该基础架构中的Burp Suite Enterprise Edition工作。因此,当启动自动第三方应用程序安全审核时,ShopIfy的应用程序还初始化Burp Suite Enterprise Edition Scan。
Shopify的应用程序安全团队不断调整以满足新的挑战,它使用前瞻性思维策略,如错误赏金计划,以确保满足这些挑战。
在选择Web漏洞扫描仪以在其自动化第三方应用程序安全评论beplay体育能用吗中使用时,他们测试了多个产品 - 包括Burp Suite Enterprise Edition。在测试之后,Shopify发现Burp Suite Enterprise Edition最需要满足其需求。Shopify也有利于其大多数Appsec工程师是Burp Suite Professional的现有用户(使用它用于手动测试) - 这意味着它们已经熟悉了Burp套件生态系统。
由于第三方购物申请由Shopify以外的开发人员编写和托管,因此Shopify无法使用静态(SAST)方法(扫描仪评论应用程序源代码)。Burp Suite Enterprise Edition的动态(DAST)基础的方法,而是从外面视图(就像攻击者一样),并且在这种情况下可能非常有效。
查看leanne讨论shopify's使用Burp Suite Enterprise Edition,beplay官网可以赌portswiggerbeplay体育能用吗 / hackerone网络研讨会。
有关用于扫描技术的更多信息bepaly下载app 软件,请看我们的bepaly下载 。
Burp Suite Enterprise Edition是支持企业的Web漏洞扫描程序,可让您扫描它。beplay体育能用吗确保您的整个Web产品组合,在代码发beplay体育能用吗货前捕获关键错误,并释放Appsec的提升工程专业知识。
