IBM представляет новое программные средства для улучшения анализа безопасности03.12.2010 16:55

Организации могут теперь одновременно использовать несколько методик анализа для определения уязвимостей программного обеспечения

АРМОНК, штат Нью-Йорк, 3 декабря 2010 г. — Корпорация IBM (NYSE: IBM) сегодня анонсировала новое программное обеспечение и аналитические возможности, позволяющие с большей точностью и эффективностью помогать организациям в проектировании, создании и управлении защищенными приложениями.

Новое программное обеспечение консолидирует возможности выявления уязвимостей ПО и подготовки отчетности в исчерпывающее информационное представление, единое в масштабе предприятия. Разработчики могут теперь оценивать угрозы безопасности в течение полного жизненного цикла разработки своих программ, что позволяет глобально распределенным командам разработчиков тестировать приложения и с легкостью выявлять уязвимости безопасности, и, в итоге, снизить риски и издержки, связанные с безопасностью ПО и соблюдением соответствующих регуляционных норм.

Так, организации могут использовать новое программное обеспечение для автоматизации процессов аудита безопасности приложений и исследования исходного кода в целях гарантии, что сетевые и Web-ориентированные приложения соответствуют требованиям по безопасности. Все это обеспечивает более тщательную проверку приложений на наличие уязвзимостей безопасности и устранение найденных ошибок.

Новые предложения IBM в области безопасности программного обеспечения включают расширение портфеля IBM Rational AppScan, что дополнительно упрощает разработчикам анализ и выявление уязвимостей своих программных продуктов. Как часть новых функций, исследовательское подразделение IBM Research предоставило методику строчного анализа (string analysis) – возможность, которая помогает облегчить процесс тестирования ПО на безопасность через автоматическую проверку и определение того, какие опции ввода данных в Web-приложениях нуждаются в корректировке для уменьшения или устранения рисков безопасности. Эта возможность помогает улучшить эффективность и точность тестирования приложений на безопасность для всего сообщества разработчиков, независимо от их квалификации в области защиты ПО.

Согласно отчету IBM X-Force Trend Report, опубликованному в середине этого года, 55% всех выявленных уязвимостей приходится на Web-приложения, что делает эту категорию программного обеспечения главным источником риска для организаций. В отчете отмечается, что угрозы ИТ-безопасности выросли на 36% за первую половину 2010 года, о чем свидетельствуют свыше 4000 новых выявленных уязвимостей по сравнению с прошлым годом.

Упрощение задачи достижения сквозной безопасности программных приложений
Web-приложения зачастую уязвимы из-за отсутствия встроенной внутренней системы безопасности. Для уменьшения этого риска организациям нужно внедрять стратегии безопасности, которые гарантируют, что приложения проектировались с учетом требований по безопасности в течение всего жизненного цикла разработки, от начала и до завершения.

«Поскольку уязвимости программного обеспечения становятся все более распространенным явлением, возможность тестирования новых приложений в течение всего цикла разработки без необходимости вкладывания денег в дополнительные технические и кадровые ресурсы приобретает чрезвычайную важность для итоговых показателей прибыли организаций, — подчеркнул Стив Робинсон (Steve Robinson), генеральный менеджер подразделения IBM Security Solutions. — Благодаря преимуществам, полученным нами от приобретения Ounce Labs и Watchfire Corp., в сочетании с нашим опытом и достижениями в исследованиях и разработках, мы теперь можем поставлять функционально исчерпывающие решения по управлению и контролю безопасности, коллективной работе и управлению рисками, что дополнительно защищает организации от злонамеренных атак».

Новые возможности для укрепления безопасности
Новые расширения портфеля IBM Rational AppScan упрощают и автоматизируют процесс сканирования программ для выявления уязвимостей и предлагают новые возможности гибридного анализа, улучшая процесс поиска и устранения угроз. Гибридный анализ обеспечивает автоматическое согласование результатов статического анализа исходного программного кода и динамического анализа для более эффективного выявления уязвимостей в автоматически выполняемых приложениях.

Новые расширения продуктового портфеля IBM Rational AppScan включают:

  • Консолидированное представление уязвимостей — Функция Hybrid Analysis Reporting осуществляет автоматическое согласование результатов статического анализа программного кода и динамического анализа, и повышает точность итоговых аналитических результатов, предоставляемых разработчикам для устранения уязвимостей. Такая прозрачность расширяет возможности пакета Rational AppScan Enterprise Edition и позволяет организациям применять стратегический подход к обеспечению безопасности Web-приложений. Кроме того, команды разработчиков получают исчерпывающее представление о рисках, связанных с соблюдением регуляционных норм по безопасности. Автоматическое согласование результатов анализа изначально реализовано для платформы Java.
  • Сканирование с расширенным доступом, которое выявляет скрытые для проверки области — Функционал сканирования с гибридным анализом позволяет осуществлять в процессе тестирования приложения синхронный статический анализ исходного кода и динамический анализ для более тщательного выявления уязвимостей, чем это было возможно ранее. Данный функционал, реализованный в виде расширения Rational AppScan Standard Edition, поддерживает JavaScript и предоставляет доступ к областям сканирования, которые раньше были скрытыми для контроля.
  • Упрощенный процесс оценки состояния безопасности — Метод строчного анализа, являясь ключевым расширением пакета Rational AppScan Source Edition, призван способствовать признанию и распространению передовой практики тестирования безопасности приложений среди сообщества разработчиков. Строчный анализ упрощает процесс тестирования безопасности путем автоматической проверки и определения того, какие области программного кода, реализующие пользовательский ввод данных в Web-приложениях, следует подкорректировать для уменьшения или устранения рисков безопасности. Эта способность облегчить процесс оценки безопасности позволяет оптимизировать и повысить точность тестирования исходного кода, давая командам разработчиков возможность поставлять надежно защищенные приложения в условиях жестко ограниченных сроков.
  • Поддержку многообразия рамочных инфраструктур — Еще одной инновацией портфеля Rational AppScan Source Edition является «расширяемая рамочная инфраструктура приложений» (Extensible Application Framework), которая распространяет повышенный уровень прозрачности и возможность анализа потоков данных на коммерческие, открытые и специально разработанные в организациях рамочные инфраструктуры Web-приложений. Способность поддерживать любую существующую или специально сконфигурированную рамочную инфраструктуру приложений критически важна для контроля безошибочности программного кода, а также показателя «степени компенсации» (влияния ошибок и неточностей).


Наряду с этими нововведениями, IBM также сообщила о поддержке в программных продуктах портфеля IBM Rational федерального стандарта безопасности CAC/PKI (US). Протокол CAC/PKI расширяет возможности правительства по глобальному предотвращению несанкционированного доступа к физическим и цифровым средам, который может отрицательно повлиять на безопасность военных и национальных инициатив. IBM предоставляет широкий спектр услуг по детальному проектированию, разработке и внедрению прикладных решений для смарт-карт/биометрических систем и практических реализаций CAC/PKI – как часть своих усилий по обеспечению поддержки стандартов в области информационной безопасности в течение полного жизненного цикла разработки и использования программных приложений.

Решения IBM Security Solutions представляют обширный портфель аппаратных средств, программных продуктов, профессиональных услуг и услуг управления, которые охватывают весь спектр рисков безопасности информационных технологий и бизнеса, включая людей с их идентификационными данными, информацию, приложения и процессы, сети, серверы и другую логическую и физическую инфраструктуру. Предложения IBM Security Solutions дают клиентам широкие возможности для внедрения инноваций и осуществления своих бизнес-операций на базе надежно защищенных инфраструктурных платформ.

Более подробную информацию о решениях IBM Security Solutions можно получить на Web-сайте www.ibm.com/security (US).

Контакты:
IBM в России и СНГ
Артур Трапизонян
Тел.: +7 (495) 775-8800 #2652
E-mail: artur@ru.ibm.com

Оригинал: www.ibm.com/press/us/en/pressrelease/33148.wss (US)

©  IBM developerWorks