O-STA

Micro Focus je vodilni ponudnik rešitev za varnostno preverjanje aplikacij

Micro Focus, vodilni ponudnik celovitih programskih in varnostnih rešitev, in sedmi največji dobavitelj programsko orientirane opreme na svetu, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

je konec marca 2018 objavil, da se je na podlagi izdelkov Fortify že peto leto zapored po Gartnerju uvrstil na vrh kvadranta vodilnih rešitev za varnostno preverjanje aplikacij - "Magic Quadrant for Application Security Testing". Vodilni ponudnik tržišča AST (Application Security Testing) so po Gartnerju tisti s širšo paleto dodelanih rešitev, pomeni da bi naj v ponudbi imeli rešitve tipa SAST, DAST ter IAST. In to v obliki lokalne namestitve ter tudi kot iz oblaka upravljano storitev, po možnosti dopolnjeno s strokovnim pregledom izvorne kode ali rezultatov s strani ponudnika. Fortify odgovarja vsem tem pogojem in še več, na dinamične spremembe tržišča se odziva z naprednimi novostmi kot so vgradnja algoritmov strojnega učenja ter takojšen prikaz rezultatov znotraj razvojnega okolja IDE.

Fortify Static Code Analyzer

Statično varnostno preverjanje aplikacijske izvorne kode - SAST oz. Static Application Security Testing - za podpira množico jezikov z možnostjo dokupa dodatnega naprednega paketa, ki pa dejansko doda manj popularne za specifične probleme orientirane programske jezike. Varnostne pomanjkljivosti izvorne kode so razdeljene v 763 kategorij, ob 25 programskih jezikih in njihovih variantah podpira še več kot 911000 komponentnih programskih vmesnikov API, med jeziki so: ABAP/BSP, JSP, ActionScript/MXML (Flex), Objective-C, ASP.NET, VB.NET, C# (.NET), PHP, C/C++, PL/SQL, Classic ASP (w/VBScript), Python, COBOL, T-SQL, ColdFusion CFML, Ruby, HTML, Visual Basic, Java (including Android), VBScript, JavaScript/AJAX, XML.

Namen Fortify SCA je zgodnje odkrivanje in odpravljanje varnostnih pomanjkljivosti v aplikacijah, saj stroški popravljanja vseh vrst napak skokovito rastejo pozneje kot so odkrite v življenjskem ciklu aplikacije. Uporabljamo ga lahko neposredno iz najbolj popularnih razvojnih okolij - Eclipse, IntelliJ Ultimate, IntelliJ Community Android Studio, IBM Rational Application Developer (RAD), IBM Rational Software Architect (RSA), Microsoft Visual Studio - ali v povezavi z izdelkom za centralno upravljanje varnostnega testiranja aplikacij Fortify Software Security Center.

Fortify WebInspect

Z izdelkom za dinamično varnostno preverjanje aplikacij - DAST - lahko analiziramo delujoče aplikacije, ki so sicer bile napisane v različnih jezikih in prevedene ali pa se sproti v celoti oz. deloma interpretirajo, se pravi v jezikih kot je npr. JavaScript. DAST or4odju posredujemo URL naslov za dostop do ene ali več aplikacij, testiranje pa lahko sprožamo ročno ali pa avtomatsko in periodično preverjamo enega ali množico dostopnih naslovov. WebInspect je enostavna rešitev za prepoznavanje varnostnih lukenj v spletnih aplikacijah ali strežnikih, uporabimo jo lahko samostojno, ali v integraciji s Fortify Software Security Center, ki poenoti upravljanje množice AST rešitev v centralno okolje. Med pravilniki delovanja varnostne analize imamo tudi vnaprej nastavljene pakete za preverjanje skladnosti aplikacije s standardi tipa - PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP ter HIPPAA. Če pa želimo iti še globlje, lahko uporabimo WebInspect Agent, ki je vključen v paket. WebInspect Agent se integrira v izvorno kodo aplikacije, deluje pa med obratovanjem, pomeni da ima najbolj globok vpogled v obratovanje in predvsem v varnostno problematiko. WebInspect Agent je IAST rešitev - Interactive Application Security Testing.

Fortify Software Security Center

Več-uporabniško orodje za upravljanje več namestitev istih ali različnih izdelkov iz družine Fortify. Ob vodenju uporabnikov ter konfiguracij Fortify rešitev in postopkov pregledovanja aplikacij je hkrati tudi centralni repozitorij za hranjenje in poročanje o vseh rezultatih testiranja. Fortify SSC ni obvezen, saj lahko vsi drugi produkti delujejo tudi samostojno, postane pa tako rekoč nepogrešljiv v okoljih z več nameščenimi izdelki, množico razvojnih projektov in večjo razvojno ekipo. Z avtomatizacijo, strojnim učenjem ter integracijo rezultatov različnih vrst varnostnih analiz do popolnega vpogleda v varnost aplikacijskega okolja organizacije.

Fortify Application Defender

Rešitev tipa RAST - Runtime Application Self-Protection - ščiti obratujoče aplikacije pred napadi in zlorabami. Application Defender se postavi med aplikacijo in končnega uporabnika, ki je lahko znotraj ali zunaj računalniškega omrežja organizacije. Takim oz. podobnim rešitvam pravimo včasih tudi WAF ali Web Application Firewall. Med najbolj osnovnimi in razširjenimi funkcionalnostmi sta na primer prepoznavanje in onemogočanje napadov tipa SQL Injection ter blokiranje neželenih IP naslovov. Seveda so tu še mnoge druge WAF funkcionalnosti podprte na sledečih platformah: Java, .NET, Python, Ruby, NodeJS, Scala ter PHP. Tudi ta izdelek je mogoče integrirati v Software Security Center ter ga nameščati lokalno ali uporabljati kot storitev.

Fortify DevInspect

Rešitev, ki pripelje problematiko aplikacijske varnosti neposredno do razvijalca in je zato še posebej pomembna za organizacije, ki so implementirale razvojno metodologijo DevOps, saj omogoča identifikacijo in popravljanje pomanjkljivosti neposredno v razvojnem okolju IDE. Integracijo z IDE vključuje tudi Fortify SCA, vendar je tam treba poganjati analize izvorne kode celotnega projekta, medtem ko lahko DevInspect razvijalca med drugim opozarja na napake tudi sproti, ali, kot pravimo v 'real-time+, se pravi takoj, ko se v programsko kodo vpelje neke sprememba. DevInspect se dodaja v IDE okolja kot dodatek tipa 'plug-in', lahko pa se tudi integrira s Fortify Software Security Center ter s storitvijo Fortify On-Demand.

Fortify On-Demand

Za tiste, ki ne želijo nameščati lokalne rešitve za varnostno preverjanje aplikacij, temveč raje uporabljajo v strežniškem oblaku nameščeno rešitev. Dodatna prednost storitve On-Demand je, da vam lahko rezultate analize pregledajo, komentirajo in dodatno overijo tudi strokovnjaki aplikacijske varnosti podjetja Fortify, strojna analiza je torej lahko še dodatno nadgrajena s človekom.

Avtor / prevod: Robert Lubej

Povezava do originalne novice:

" https://software.microfocus.com/en-us/assets/enterprise-security-products/magic-quadrant-for-application-security-testing

### ### ###

O podjetju Micro Focus

Micro Focus je sedmi največji ponudnik predvsem na znotraj lastne hiše razviti programski opremi temelječih rešitev, ki je nastal leta 1976 kot dobavitelj poslovnih sistemov v okolju COBOL. Mednarodna korporacija s sedežem v Angliji dobavlja programske poslovne rešitve in svetovanje, množico vodilnih rešitev informacijske varnosti iz različnih področij, ter drugo programsko opremo. V okviru podjetja delujejo nekdaj zelo znane enote Borland in Novell, lastijo si tudi produktno linijo SUSE.

Leta 2017 so uspešno zaključili združitev s programskim oddelkom HPE Software, s čimer so prevzeli zelo znane produktne linije s področja varnosti kot so SIEM rešitve - ArcSight; varnostno preverjanje in zaščita aplikacij - Fortify; šifriranje podatkov in sporočilnih sistemov - Voltage; strojni varnostni moduli - Atalla HSM; upravljanje informacijskih procesov - Operation Bridge, Network Operations Management IT Service Management Automation Suite; nadzor in upravljanje informacij - ControlPoint, Content Manager ter Structured Data Manager; varnostno kopiranje in obnavljanje - Data Protector in VM Explorer: upravljanje projektov, protfolia in aplikacij; masovni podatki in analitika - Vertica, IDOL ArcSight ADP; varnostna analitika - ArcSight Investigate ter UBA.

Več o podjetju najdete na spletnih straneh: https://www.microfocus.com/

Dodatne informacije:

Daniel Bednjički, produktni vodja

daniel.bednjicki@real-sec.com

REAL security d.o.o.

Žolgarjeva ulica 17

2000 Maribor

tel.: 02 234 74 74

http://www.real-sec.com

info@real-sec.com