Poskrbimo za aplikacijsko varnost že med razvojem : HP Fortify
HP, oddelek zadolžen za varnostne rešitve HP Enterprise Security, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
predstavljata rešitev za zagotavljanje aplikacijske varnosti. Družina produktov HP Fortify je namenjena odkrivanju in odpravljanju varnostnih pomanjkljivosti v aplikacijah in je uporabna v razvojni fazi kot tudi v produkcijskem okolju. Skrb za aplikacijsko varnost pa je v resnici je najbolj pomembna že na samem začetku, torej med razvojem, programiranjem, kar nam dokaže naslednji diagram:
Cena odpravljanja napak začne zelo hitro rasti, če jih odkrijemo šele kasneje v življenjskem ciklu aplikacije. Modra in oranžna linija kažeta paradoks vsakdanjosti - večina pomanjkljivosti je posledica odločitev na začetku razvojnega cikla, odkrijejo pa jih šele kasneje, zato so stroški odpravljanja večin napak visoki.
S HP Fortify se je mogoče tej situaciji izogniti, saj nam naredi celovit varnostni pregled izvorne programske kode v množici programskih jezikov in okolij (pozna 21 jezikov, več kot
720,000 API-jev in preko 500 kategorij varnostnih pomanjkljivosti).
Filozofija teh rešitev temelji na treh angleških pojmih:
Asses - ocenjevanje, potrebujemo rešitve, ki zmorejo pregledati in testirati vse vrste aplikacij z namenom odkrivanja pomanjkljivost;
Assure - zagotavljanje kvalitete, potrebujemo rešitev, ki zmore popravljati varnostne pomanjkljivosti v izvorni kodi preden gre v produkcijo;
Protect - zaščita in ojačitev aplikacij, potrebujemo tudi rešitev, ki zmore pred napadi učinkovito ščititi aplikacije, ki so že v produkciji.
HP Fortify pokriva vsa področja s tremi tipi namestitev oz. revizij:
Statična analiza - Fortify Static Analysis omogoča pregled izvorne kode aplikacije v več podprtih programskih jezikih, poišče, označi in po prioritetah razporedi tiste logične napake ali neprimerne načine kodiranja, ki lahko povzročijo varnostne pomanjkljivosti; poročilo bo vsebovalo tudi priporočila oz. postopke za odpravljanje napak, specifično glede na programski jezik;
Dinamična analiza - Fortify Dynamic Analysis je dinamična analiza za pregled aplikacije, ki je že pripravljena za produkcijsko okolje, torej ne izvorne kode temveč npr. zagonske kode; samodejna simulacija hekerskih aktivnosti preizkusi trdnost aplikacije tako, da dejansko napade aplikacijo od zunaj s postopki, ki jih hekerji uporabljajo v dejanskih primerih;
Varno produkcijsko okolje - Runtime Analysis se 'postavi' pred aplikacijo, da odkriva in preprečuje dejanske napade nanjo; hkrati lahko poskrbi za opravila, ki v sami aplikaciji morda niso implementirana, kot je npr. tvorjenje dnevniških zapisov o varnostnih aspektih obratovanja aplikacije;
Ročna revizija - Na koncu ostane še ročni pregledi, ker v nekaterih primerih nič ne more povsem nadomestiti človeškega faktorja. Skupina vrhunskih strokovnjakov lahko oceni rezultate, ki so jih dale avtomatizirane rešitve, v skladu z njimi še enkrat preveri izvorno kodo aplikacije in pripravi namensko poročilo.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
http://www8.hp.com/us/en/software-solutions/application-security/index.html
### ### ###
O podjetju HP in oddelku HP Enterprise Security
Več o HP Enterprise Security najdete na spletnih straneh: http://www8.hp.com/us/en/software-solutions/enterprise-security.html
Dodatne informacije:
Daniel Bednjički, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74