Checkmarx MS Visual Studio Team Services plugin
Checkmarx, ponudnik istoimene palete rešitev za odkrivanje in odpravljanje varnostnih pomanjkljivosti v programski kodi, katerega v Sloveniji uradno zastopa Mariborsko podjetje REAL security,
je pred kratkim predstavil pomembno novost za podjetja oz. ekipe za razvoj programskih aplikacij, ki opravljajo največ svojega dela v okviru okolja Microsoft Visual Studio Team Services. Dodatek za namestitev neposredno v razvojno okolje Checkmarx (CxSAST) Microsoft Visual Studio Team Services Plugin bo omogočal ekipam, katerih projekti temeljijo predvsem na naprednem agilnem, hitrem in prilagodljivem razvoju aplikacij, da zagotavljajo varnost svojih izdelkov neposredno iz razvojnega okolja. CxSAST vgrajuje varnost neposredno v aplikacijski razvojni cikel, ali če temu rečete tako, v SDLC. S tem se izognemo večini zaradi varnostnih testiranj izgubljenega časa pred objavljanjem novih aplikacij ali nameščanjem posodobitev, CxSAST omogoča hitro odkrivanje in učinkovito odpravljanje varnostnih pomanjkljivosti zgodaj v razvojnem ciklu aplikacije, takrat, ko je to tudi najbolj stroškovno učinkovito (že v beta-testnem obdobju so lahko stroški varnosti za 10x večji). Druge prednosti statične analize programske kode so:
- Hitrejša povratna zanka: inovativno v podjetju Checkmarx razvito inkrementalno varnostno skeniranje pomeni, da se lahko brez posebnega truda po potrebi pregledajo samo novi ali spremenjeni deli programske kode oz. deli, ki se nanašajo na spremembe. Za varnostni pregled potreben čas se skrajša iz ur na minute, kar je še posebej pomembno za podjetja s hitrimi razvojnimi cikli CI/CD (Continuous Integration / Continuous Delivery)
- Avtomatizacija: v okolju Chekmarx si lahko nastavimo "stopnjo varnostnega tveganja aplikacije", ki sprejemljivo za podjetje oz. stranko, in pustimo dodatek, da deluje po nastavitvah. Razvojni cikel oz. nameščanje novih različic pa potem prekinemo samo takrat, ko je rezultat samodejnega varnostnega pregleda izven danih okvirjev.
- Hitrejše odpravljanje pomanjkljivosti: Checkmarx lahko izpiše dolg seznam mnogih mest z varnostnimi pomanjkljivostmi v programski, a to ni vse. Inovativni algoritmi so zmožni korelirati vse te pomanjkljivosti in pokazati na mesta, kjer bodo popravki najbolj učinkoviti, na primer na eno vrstico v programski kodi, katere sprememba bo odpravila 10 ali več napak hkrati, saj vpliva tudi na druge dele kode. S tem si lahko skrčimo čas za popravljanje kar za 80%.
- Učinkovita integracija: Checkmarx dodatek za Visual Studio Team Services se enostavno namesti, konfigurira in upravlja. Posamezni uporabniki Visual Studia lahko v svoje okolje namestijo CxSAST kar iz spletnega tržišča Visual Studio Marketplace.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
### ### ###
O podjetju Checkmarx
Checkmarx je uveljavljeni ponudnik orodij za aplikacijske razvojne ekipe, s pomočjo katerih lahko pravočasno izdelajo aplikacije, brez da bi zaradi tesnih rokov žrtvovali pomembne varnostne zahteve. Podjetje je bilo ustanovljeno leta 2006 z vizijo zagotavljanja celovite rešitve za avtomatizirano pregledovanje programske kode s poudarkom na varnostni odpornosti končnega produkta. Checkmarx razume izvorno kodo v 18 različnih programskih jezikih, predvsem pa zna odkrivati varnostne pomanjkljivosti v vseh teh dialektih.
SAST orodja za varnostno analizo programske kode so učinkovita predvsem zato, ker je odkrivanje in odpravljanje varnostnih pomanjkljivosti precej enostavnejše predvsem pa cenejše v razvojnem delu življenjskega cikla aplikacije, kot pa v testnem obdobju ali celo, kar je najhujše, šele ko je aplikacija že v rabi. Checkmarx nam poleg same varnostne luknje, ki se običajno vleče skozi daljši del kode, običajno pokaže tudi točno mesto, kjer jo je najenostavneje odpraviti tako, da bo popravek imel vpliv na celotno verigo.
Več o podjetju najdete na spletnih straneh: https://www.checkmarx.com/
Dodatne informacije:
Robert Lubej
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74