Checkmarx prevzema podjetja Custodela in načrtuje storitve avtomatizacije uvajanja softverske varnosti v DevSecOps
19.12.2018
Checkmarx, ponudnik istoimene palete rešitev za odkrivanje in odpravljanje varnostnih pomanjkljivosti v programski kodi, katerega v Sloveniji uradno zastopa Mariborsko podjetje REAL security,
...je sredi novembra 2018 sporočil, da je prevzel Kanadsko podjetje Custodela, ki je med drugim znani ponudnik uvajanja varnosti v softverske projekte ter svetovanja s področja aplikacij in varnega razvoja. Tematika, na kateri se storitvene dejavnosti Custodela najbolj osredotočajo, je DevSecOps.
DevOps je pristop k agilnemu, hitremu in učinkovitemu razvoju novih poslovnih programskih storitev s poudarkom na kulturi in odnosih, torej predvsem na komunikaciji in sodelovanju med inženirji - razvijalci programske opreme in preostankom IT ekipe, kakor tudi na spoštovanju in večjem upoštevanju odziva poslovnih uporabnikov. Cilj DevOps je bolj tekoče, hitrejše in predvsem potrebam primerno uvajanje novih različic poslovnih aplikacij, infrastrukturnih sprememb ter poslovnih storitev, za katere so odgovorni notranji razvijalci v sodelovanju z IT ekipo. Hitro, redno in zanesljivo razvijanje, testiranje in uvajanje programske opreme v delovno okolje nam omogoča hitrejše doseganje poslovnih ciljev in s tem tudi večjo splošno produktivnost.
Eden od pomembnih aspektov programskega razvoja in seveda tudi DevOps so varnostni popravki in odpravljanje programskih napak in pomanjkljivosti. To je področje, za katerega je specializirano podjetje Checkmarx, s čigar rešitvami bi naj v DevOps omogočili, da je čim več novih različic predstavljenih zato, ker uvajajo predvsem poslovne novosti, ne zaradi varnostnih popravkov, to dosegamo s sprotnim, hitrim in učinkovitim varnostnim testiranjem znotraj razvojnega cikla. Koncem lanskega leta je bilo objavljenih veliko mnenj o tem, kaj se bo dogajalo letos, med drugim se je v javnosti s svojimi izjavami večkrat pojavil direktor produktnega trženja v Checkmarx Amit Ashbel, ki je hkrati tudi zelo aktivne promotor učinkovite kibernetske varnosti.
Amit Ashbel ni osamljen v tem mnenju. Na http://www.devopsdigest.com lahko vidimo mnenja mnogih strokovnjakov s tega področja in veliko od njih daje večji pomen na varnostnih testiranjih v DevOps. Doslej je bila varnost nekoliko bolj samostojna, izločena iz DevOps kulture. Uveljavljala se je predvsem kot implementacija boljše avtentikacije, šifriranja in kvalitetnih revizijskih sledi, a ugotavljamo, da to ni dovolj. Doslej so breme ali krivdo varnostnih napadov preko poslovnih aplikacij nosili predvsem za varnost odgovorni deli same operativne ekipe, developerji so bili čaščeni kot nezmotljivi, vsaj dokler je poslovna aplikacija delala tisto, kar mora. To pa ni v redu, ugotavljamo da je sedaj bistveno predvsem varnostno preverjanje aplikacij zgodaj znotraj razvojnega cikla. Zato se sedaj pogosto omenja metamorfoza DevOps v DevSecOps - DEVelopment-and-SECurity-OPerationS. Checkmarx pokriva vse aktualne težnje promotorjev DevOps filozofije - preoblikovanje kulture, vključevanje varnosti, pomik varnostnih testiranj čim bolj na začetek razvojnega cikla, vgradnjo varnosti kot osnovno lastnost poslovnih rešitev, interaktivno varnostno testiranje aplikacij ter pravilno zoperstavljanje varnostnim tveganjem v zunanjih programskih knjižnicah API.
Po Gartnerju se aplikacijski razvoj korenito spreminja. Do konca leta 2019 bo moralo več kot 50% DevOps ekip implementirati in deloma avtomatizirati varnostno testiranje v svojih razvojnih okoljih; to je velika rast od trenutnih 10% razvojnih ekip, ki so že tako daleč. Ker je eno teorija, implementirati jo v praksi pa je nekaj drugega, bodo pri tem lahko profesionalne storitve in svetovanje bistveni.
Izjave
Emmanuel Benzaquen, CEO, Checkmarx: "While enabling organizations to develop software with more efficiency and speed, the DevOps process also dramatically expands risk through software exposure. Custodela's expertise in software security architecture and software development extends Checkmarx's reach deeper into the DevSecOps program development and services space. The team's methodologies will support and contribute towards Checkmarx's mission to transform software security to help businesses fight software exposure and deliver secure software faster."
Ken McDonald, CTO in soustanovitelj, Custodela: "Implementing automation into DevSecOps processes is a critical challenge for most organizations. We are excited to join Checkmarx to help advance the automation capabilities in the Software Exposure Platform and deliver premium service offerings to help customers mature their software security programs."
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
" https://www.checkmarx.com/press-releases/Checkmarx-Custodela-Automation-DevSecOps/
### ### ###
O podjetju Checkmarx
Checkmarx je uveljavljeni ponudnik orodij za aplikacijske razvojne ekipe, s pomočjo katerih lahko pravočasno izdelajo aplikacije, brez da bi zaradi tesnih rokov žrtvovali pomembne varnostne zahteve. Podjetje je bilo ustanovljeno leta 2006 z vizijo zagotavljanja celovite rešitve za avtomatizirano pregledovanje programske kode s poudarkom na varnostni odpornosti končnega produkta. Checkmarx razume izvorno kodo v 18 različnih programskih jezikih, predvsem pa zna odkrivati varnostne pomanjkljivosti v vseh teh dialektih.
SAST orodja za varnostno analizo programske kode so učinkovita predvsem zato, ker je odkrivanje in odpravljanje varnostnih pomanjkljivosti precej enostavnejše predvsem pa cenejše v razvojnem delu življenjskega cikla aplikacije, kot pa v testnem obdobju ali celo, kar je najhujše, šele ko je aplikacija že v rabi. Checkmarx nam poleg same varnostne luknje, ki se običajno vleče skozi daljši del kode, običajno pokaže tudi točno mesto, kjer jo je najenostavneje odpraviti tako, da bo popravek imel vpliv na celotno verigo.
Več o podjetju najdete na spletnih straneh: https://www.checkmarx.com/
Dodatne informacije:
Robert Lubej
robert.lubej@real-sec.com
REAL security d.o.o.
Žolgarjeva ulica 17
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com