IBM представила новые программные средства для анализа и выявления уязвимостей в ПО
Корпорация IBM анонсировала новое программное обеспечение и аналитические возможности, позволяющие с большей точностью и эффективностью помогать организациям в проектировании, создании и управлении защищенными приложениями.
Новые предложения IBM в области безопасности программного обеспечения включают расширение портфеля IBM Rational AppScan, призванное упростить разработчикам анализ и выявление уязвимостей в своих программных продуктах. Как часть новых функций, исследовательское подразделение IBM Research предоставило методику строчного анализа (string analysis) – возможность, которая помогает облегчить процесс тестирования ПО на безопасность через автоматическую проверку и определение того, какие опции ввода данных в веб-приложениях нуждаются в корректировке для уменьшения или устранения рисков безопасности. Эта возможность помогает улучшить эффективность и точность тестирования приложений на безопасность для всего сообщества разработчиков, независимо от их квалификации в области защиты ПО, подчеркнули в IBM.
«Поскольку уязвимости программного обеспечения становятся все более распространенным явлением, возможность тестирования новых приложений в течение всего цикла разработки без необходимости вкладывания денег в дополнительные технические и кадровые ресурсы приобретает чрезвычайную важность для итоговых показателей прибыли организаций, — подчеркнул Стив Робинсон (Steve Robinson), генеральный менеджер подразделения IBM Security Solutions. — Благодаря преимуществам, полученным нами от приобретения Ounce Labs и Watchfire Corp., в сочетании с нашим опытом и достижениями в исследованиях и разработках, мы теперь можем поставлять функционально исчерпывающие решения по управлению и контролю безопасности, коллективной работе и управлению рисками, что дополнительно защищает организации от злонамеренных атак».
В целом новые расширения продуктового портфеля IBM Rational AppScan включают: консолидированное представление уязвимостей — функция Hybrid Analysis Reporting осуществляет автоматическое согласование результатов статического анализа программного кода и динамического анализа и повышает точность итоговых аналитических результатов, предоставляемых разработчикам для устранения уязвимостей (такая прозрачность расширяет возможности пакета Rational AppScan Enterprise Edition и позволяет организациям применять стратегический подход к обеспечению безопасности веб-приложений), автоматическое согласование результатов анализа изначально реализовано для платформы Java; сканирование с расширенным доступом, которое выявляет скрытые для проверки области — функционал сканирования с гибридным анализом позволяет осуществлять в процессе тестирования приложения синхронный статический анализ исходного кода и динамический анализ для более тщательного выявления уязвимостей, чем это было возможно ранее (этот функционал, реализованный в виде расширения Rational AppScan Standard Edition, поддерживает JavaScript и предоставляет доступ к областям сканирования, которые раньше были скрытыми для контроля); упрощенный процесс оценки состояния безопасности — метод строчного анализа, являясь ключевым расширением пакета Rational AppScan Source Edition, упрощает процесс тестирования безопасности путем автоматической проверки и определения того, какие области программного кода, реализующие пользовательский ввод данных в веб-приложениях, следует подкорректировать для уменьшения или устранения рисков безопасности; поддержку многообразия рамочных инфраструктур — еще одной инновацией портфеля Rational AppScan Source Edition является «расширяемая рамочная инфраструктура приложений» (Extensible Application Framework), которая распространяет повышенный уровень прозрачности и возможность анализа потоков данных на коммерческие, открытые и специально разработанные в организациях рамочные инфраструктуры веб-приложений (способность поддерживать любую существующую или специально сконфигурированную рамочную инфраструктуру приложений критически важна для контроля безошибочности программного кода, а также показателя «степени компенсации», или влияния ошибок и неточностей).
Наряду с этими нововведениями, IBM также сообщила о поддержке в программных продуктах портфеля IBM Rational федерального стандарта безопасности CAC/PKI. IBM предоставляет широкий спектр услуг по детальному проектированию, разработке и внедрению прикладных решений для смарт-карт/биометрических систем и практических реализаций CAC/PKI – как часть своих усилий по обеспечению поддержки стандартов в области информационной безопасности в течение полного жизненного цикла разработки и использования программных приложений, подчеркнули в компании.
© CNews