Checkmarx Blog - trendi aplikacijske varnosti za leto 2016
9.2.2016
Checkmarx, ponudnik istoimene palete rešitev za odkrivanje in odpravljanje varnostnih pomanjkljivosti v programski kodi, katerega v Sloveniji uradno zastopa Mariborsko podjetje REAL security,
je januarja 2016 na svojem blogu objavil zanimiv članek z naslovom "5 Application Security Trends We'll See This Year". Aplikacijska varnost je velik segment znotraj celotnega področja informacijske varnosti, ki je v zadnjem času končno prišel v ospredje. "Končno" zato, ker je v bistvu že skrajni čas - kar 84% odstotkov sodobnih napadov je usmerjeno na aplikacijski nivo, taki napadi zlorabljajo varnostne pomanjkljivosti v aplikacijah. Večino varnostnih lukenj bi se s primerno varnostno strategijo dalo odpraviti že med samim razvojem aplikacije. Na žalost se je to do sedaj bolj kot ne ignoriralo v prid drugim varnostnim rešitvam, katerih pa bi lahko brez strahu imeli manj, če varnostnih pomanjkljivosti v aplikacijah sploh ne bi bilo. Rešitve, kot je Checkmarx, lahko samodejno pregledujejo izvorno kodo in poiščejo dele kode, ki odpirajo varnostne luknje, in predlagajo najbolj primerne ukrepe za popravek kode. Zagotavljanje varnosti aplikacije že med samim razvojem je najhitrejša in najbolj poceni pot za reševanje tega problema.
Članek, katerega omenjamo v tej novici, našteje in podrobneje predstavi pet najpomembnejših trendov aplikacijske varnosti v tem letu. Tukaj jih bomo samo na hitro predstavili, podrobnosti pa si pa lahko preberete na pripadajoči spletni strani.
Application Security Automation - V zadnjih letih se v vse več okoljih prehaja iz klasičnega aplikacijskega razvojnega cikla na DevOps (development + Operation) model, ki vključuje ob samih razvijalcih tudi tesno sodelovanje ekip iz drugih področij ITja ter agilnejši razvoj. Temu mora slediti tudi tim zadolžen za varnost nastajajoče aplikacije. Najboljši način za vzdrževanje tega tempa je v čim večji meri avtomatizacije zagotavljanja aplikacijske varnosti (seveda ne na račun same stopnje varnosti) ob hkratni integraciji varnosti v celotni razvojni proces.
Internet of Things (IoT) INSecurity - Doslej se je pokazalo, da nam IoT rešitve bolj zapletejo vsakdanje življenje, kot poenostavijo, zato se še niso uveljavile, prav verjetno še kako leto ali tri tudi ne bodo. A razvoj produktov, ki bodo kot kaže bolj popularni, poteka že zdaj. Ekipe, ki skrbijo za aplikacijsko podporo takih produktov, morajo obvezno že sedaj podrobneje skrbeti za varnost bodočega produkta. Heker, ki dobi dostop do kake hišne IoT naprave, lahko povzroči več dejanske škode kot z dostopom do domačega računalnika.
Mobile Application Hacking - število prenosnih naprav, ki si jih lastimo, in število aplikacij zanje, ki jih uporabljamo, obe števili rasteta izredno hitro. Z njima pa tudi število zlorab prenosnih naprav, predvsem preko varnostnih pomanjkljivostih v "mobile app-ih". V tem letu bo od uporabnikov in "app developer-jev" odvisno, ali se bo ta trend končno upočasnil. Uporabniki morajo postati "pametni downloader-ji" in snemati samo dokazano varne aplikacije, razvijalci pa morajo integrirati zagotavljanje aplikacijske varnosti že v razvojni cikel vsakega "app-a".
Developer Interest in Security - Še pred kratkim v izobraževanje razvijalcev programske opreme nihče ni vključeval aplikacijske varnosti, v zadnjem času se je to pričelo spreminjati. Razvijalci počasi dojemajo, da je treba varnost zagotavljati v vsakem koraku življenja aplikacije in v vsaki fazi razvojnega cikla. Nadejamo se, da se bo ta trend samo še dodatno okrepil v prihajajočem letu.
Open Source Security - Veliko danes uporabljane programske opreme, tudi komercialne, temelji na odprtokodnih knjižnicah. Predlani so v njih našli ogromne pomanjkljivosti, ki so razburkale svet, leta 2015 ni bilo toliko odmevnih odkritij. V letu 2016 se bo nadaljeval trend aktivnejše zaščite odprtokodnih knjižnic, v katerem morajo s podporo odprtokodnih razvojnih projektov sodelovati tudi komercialne organizacije, ki te knjižnice koristijo v svojih aplikacijah.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
https://www.checkmarx.com/2016/01/08/application-security-trends-cant-ignore-2016
### ### ###
O podjetju Checkmarx
Checkmarx je uveljavljeni ponudnik orodij za aplikacijske razvojne ekipe, s pomočjo katerih lahko pravočasno izdelajo aplikacije, brez da bi zaradi tesnih rokov žrtvovali pomembne varnostne zahteve. Podjetje je bilo ustanovljeno leta 2006 z vizijo zagotavljanja celovite rešitve za avtomatizirano pregledovanje programske kode s poudarkom na varnostni odpornosti končnega produkta. Checkmarx razume izvorno kodo v 18 različnih programskih jezikih, predvsem pa zna odkrivati varnostne pomanjkljivosti v vseh teh dialektih.
SAST orodja za varnostno analizo programske kode so učinkovita predvsem zato, ker je odkrivanje in odpravljanje varnostnih pomanjkljivosti precej enostavnejše predvsem pa cenejše v razvojnem delu življenjskega cikla aplikacije, kot pa v testnem obdobju ali celo, kar je najhujše, šele ko je aplikacija že v rabi. Checkmarx nam poleg same varnostne luknje, ki se običajno vleče skozi daljši del kode, običajno pokaže tudi točno mesto, kjer jo je najenostavneje odpraviti tako, da bo popravek imel vpliv na celotno verigo.
Več o podjetju najdete na spletnih straneh: https://www.checkmarx.com/
Dodatne informacije:
Robert Lubej
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74