Checkmarx in nadzor ranljivosti v kodi programskega jezika Scala
Checkmarx, ponudnik istoimene palete rešitev za odkrivanje in odpravljanje varnostnih pomanjkljivosti v programski kodi, katerega v Sloveniji uradno zastopa Mariborsko podjetje REAL security,
je v drugi polovici februarja 2017 pričel z javnim odprtim testnim (beta) programom za implementacijo programskega jezika Scala v Checkmarx rešitev za statično preverjanje ranljivosti v izvorni kodi.
Scala
Je leta 2001 v Švici - École Polytechnique Fédérale de Lausanne - razvit in od leta 2004 javnosti dostopen programski jezik za splošne namene. Ime Scala je akronim za "scalable language", namen avtorjev je namreč bil zgraditi programski jezik, ki bi rasel v skladu s potrebami uporabnikov. V osnovi je objektni jezik kot Java, a z mnogo več elementi bolj "klasičnih" funkcionalnih jezikov, ki so bile dodane ravno zaradi mnogih kritik Jave glede pomanjkanja teh zmogljivosti in posledično bolj kompleksne ter manj pregledne izvorne kode. Koda v tem programskem jeziku poganja pomembne funkcije mnogih popularnih spletnih storitev kot so LinkedIn, Twitter, FourSquare ali Novell.
Checkmarx in Scala
Checkmarx je prvo orodje za statično varnostno analizo programske kode, ki bo podpiralo tudi programski jezik Scala. Ta jezik sicer sam po sebi nima globalno kiber-kriminalcem znanih varnostnih pomanjkljivosti, kot to velja za druge bolj znane jezike, a ker deluje v okviru navideznega stroja Java (JVM), je vse, kar se nanaša na JVM pomanjkljivosti, relevantno tudi za Scala programerje. Vrh tega - mnoge spletne aplikacije so sestavljene iz več modulov, včasih v različnih programskih jezikih. Tako lahko najdemo spletne aplikacije, na primer zgoraj naštete, v kombinaciji Java / Scala kode, in pri takih je lahko Checkmarx CxSAST še posebej koristen, saj bo razumel oba jezika in omogočil boljše delo oz. sodelovanje ter ločevanje dela v kombiniranih razvojnih ekipah.
V Scala kodi CxSAST bo zmogel odkrivati za zdaj 26 znanih varnostnih pomanjkljivosti, med drugim:
Zelo nevarne varnostne pomanjkljivosti Scala kode:
- Code Injections
- Connection String Injections
- Reflected XSS
- SQL Injections
- Stored XSS
Srednje nevarne varnostne pomanjkljivosti Scala kode:
· Absolute Path Traversals
· Dangerous File Inclusions
· DB Parameter Tampering
· DoS by Sleep
· Improper Locking
· Privacy Violations
· Stored LDAP Injections
· Cross-Site Request Forgeries(XSRF)
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
https://www.checkmarx.com/sast-supported-languages/scala-language-overview/
### ### ###
O podjetju Checkmarx
Checkmarx je uveljavljeni ponudnik orodij za aplikacijske razvojne ekipe, s pomočjo katerih lahko pravočasno izdelajo aplikacije, brez da bi zaradi tesnih rokov žrtvovali pomembne varnostne zahteve. Podjetje je bilo ustanovljeno leta 2006 z vizijo zagotavljanja celovite rešitve za avtomatizirano pregledovanje programske kode s poudarkom na varnostni odpornosti končnega produkta. Checkmarx razume izvorno kodo v 18 različnih programskih jezikih, predvsem pa zna odkrivati varnostne pomanjkljivosti v vseh teh dialektih.
SAST orodja za varnostno analizo programske kode so učinkovita predvsem zato, ker je odkrivanje in odpravljanje varnostnih pomanjkljivosti precej enostavnejše predvsem pa cenejše v razvojnem delu življenjskega cikla aplikacije, kot pa v testnem obdobju ali celo, kar je najhujše, šele ko je aplikacija že v rabi. Checkmarx nam poleg same varnostne luknje, ki se običajno vleče skozi daljši del kode, običajno pokaže tudi točno mesto, kjer jo je najenostavneje odpraviti tako, da bo popravek imel vpliv na celotno verigo.
Več o podjetju najdete na spletnih straneh: https://www.checkmarx.com/
Dodatne informacije:
Robert Lubej
REAL security d.o.o.
Žolgarjeva ulica 17
2000 Maribor
tel.: 02 234 74 74