找回密码
 立即注册

QQ登录

只需一步,快速开始

aiweilai 讲师达人认证

注册会员

26

主题

56

帖子

192

积分

注册会员

积分
192

讲师达人

aiweilai 讲师达人认证
注册会员   /  发表于:2022-1-2 22:07  /   查看:1725  /  回复:2
10金币


有哪位朋友使用活字格开发的应用进行过渗透测试?

最近发现很多客户在漏扫测试、渗透测试和等保评测,所以也想了解活字格在安全方面的情况。

最佳答案

查看完整内容

这点您放心,像金融业(金元证券,联通支持),银行业(中国银行),军工业(宁波海工)等等都是活字格的客户,他们已经非常详细的检查过了活字格的安全性,他们对安全性的要求是非常高,有这些单位的背书,自然没什么问题。 如果需要出一些安全性证书,目前活字格的产品没有证书,主要原因是:像我们这样的低代码产品,太新了,没有成熟的行业通用的测评;以前的测评都是成品软件,这种比较成熟,这个对比我们就是活字格开发出 ...

2 个回复

倒序浏览
最佳答案
最佳答案
Joe.xu讲师达人认证 悬赏达人认证 活字格认证
超级版主   /  发表于:2022-1-2 22:07:41
来自 3#
这点您放心,像金融业(金元证券,联通支持),银行业(中国银行),军工业(宁波海工)等等都是活字格的客户,他们已经非常详细的检查过了活字格的安全性,他们对安全性的要求是非常高,有这些单位的背书,自然没什么问题。

如果需要出一些安全性证书,目前活字格的产品没有证书,主要原因是:像我们这样的低代码产品,太新了,没有成熟的行业通用的测评;以前的测评都是成品软件,这种比较成熟,这个对比我们就是活字格开发出来的成果应用,但是这个应用,不同人开发出来的系统不同,有的人就是有需求设置比较宽松的权限,所以这个需要你把你做出来的系统,去做检测才行;而且我们有客户已经拿自己做的东西,进行的测评是没有问题的,而且像联通支付等金融行业的单位也拿活字格做出来的产品做过安全性检测,是通过了的这种我们只能推荐客户自己使用活字格做出来的系统,去做评测;关于产品本身的检测:这个我们目前也正在跟绿盟等等单位在做对接,希望能配合着一起做一下类似低代码开发工具产品的评测,如果有产出,我会第一时间给您
而且即使活字格是安全的,但是开发者使用活字格开发出来的系统中,设计了不安全的功能(匿名随便修改数据库,没有设置权限,没有使用强密码策略),一样有安全问题,所以建议您将使用活字格开发的应用做安全检查,推荐您一些安全检查的工具或者产品ZAP – OWASP(免费),SonarQube – SonarWorks(收费),Burp Suite – PortSwigger(收费),AppScan - IBM(收费)。
活字格对安全性的问题非常重视,如果您遇到了任何安全性问题,都可以随时告知我们,如果确定是安全性问题,我们会第一时间修复。

回复 使用道具 举报
503881523活字格认证
金牌服务用户   /  发表于:2022-1-2 23:18:14
2#
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册
返回顶部