Parasoft Application Security Solution

21 lipca 2008 0 przez Michał Tomaszkiewicz

Parasoft poinformował o nowych możliwościach analizy przepływu danych, które pomagają organizacjom szybko identyfikować czynniki wysokiego ryzyka w aplikacjach, a także monitorować zgodność z polityką bezpieczeństwa.

Funkcje te są dostępne w rozwiązaniu Parasoft Application Security Solution, które gwarantuje, że zadania weryfikacji i korekcji zabezpieczeń nie tylko będą wykonywane na każdym etapie cyklu SDLC, ale również będą obecne w obiegu pracy.

Parasoft Application Security Solution rozszerza tradycyjną analizę przepływu danych z jakości oprogramowania na bezpieczeństwo aplikacji. Wykorzystująca serwer technologia symuluje ścieżki wykonywania aplikacji po to, aby zespół programistów mógł szybko wykryć słabe punkty, takie jak: wstrzykiwanie kodu SQL, CSS (cross-site scripting) czy ujawnianie poufnych danych: które zwykle wymagały dużego nakładu pracy, związanego z ich wykryciem lub pozostawały niezauważone.

Automatyczne wykonywanie testów – bez konieczności projektowania, wdrażania, wykonywania oraz modyfikowania przypadków testowych – umożliwia zespołom znaczne zwiększenie zakresu testów bezpieczeństwa bez spowalniania całego projektu. Najnowsze usprawnienia wykorzystują nie tylko obszerną bazę wiedzy o pospolitych wzorcach ataku, ale również pozwalają organizacji odwzorować logikę przepływu danych w oparciu o własną politykę bezpieczeństwa. Wynikiem jest realistyczna i dokładna weryfikacja, która ściśle odpowiada priorytetom firmy w zakresie bezpieczeństwa.

Rozwiązania Parasoft wspierają weryfikację zabezpieczeń poprzez analizę statyczną opartą
na regułach, analizę statyczną przepływu danych, metryki bezpieczeństwa oraz automatyzację procesów oceny kodu przez innych członków zespołu. Aby programiści mieli poczucie,
że praktyki te zwiększają produktywność, a nie przeszkadzają w pracy, rozwiązania Parasoft definiują i podtrzymują codzienny proces, który automatycznie monitoruje zgodność z polityką bezpieczeństwa we wszystkich warstwach stosu aplikacji, identyfikuje słabe punkty i gromadzi metryki procesów. Zespół IT może zabezpieczyć kod, reagując na zgłoszone problemy, a kadra kierownicza uzyskuje bieżący wgląd w ogólny stan bezpieczeństwa.