26.07.2011
Компания HP представила HP WebInspect Real-Time — программное решение для динамического тестирования безопасности приложений, которое анализирует программный код приложения в режиме реального времени, тем самым обеспечивая наибольшую точность при поиске уязвимостей.
HP WebInspect Real-Time базируется на движке HP WebInspect 9.1 и работает в паре с HP Fortify Security Scope. Программа осуществляет «вторжение» в приложение и позволяет выполнить тестирование безопасности, в ходе которого можно обнаружить уязвимость, если таковая существует, в строке кода приложения, говорится в сообщении HP.
HP WebInspect Real-Time «вторгается» в приложение путем запуска внешних автоматизированных тестов безопасности. Затем программа анализирует «поведение» кода приложения в условиях внешней атаки и собирает внутреннюю информацию о приложении, в том числе данные на уровне кода. Такое взаимодействие технологий в режиме реального времени обеспечивает более точное обнаружение опасных уязвимостей и предоставление имеющихся способов снижения угроз, пояснили разработчики.
«Программные решения в области динамического тестирования безопасности приложений (DAST) сканируют веб-приложения и идентифицируют возможные пути атак, которые могут помешать работе приложения. Однако когда уязвимость найдена, приложения DAST не указывают, в какой конкретной строке найдена уязвимость, — рассказал Джозеф Файман, вице-президент Gartner. — Данная ситуация привела к появлению интегрированных решений в области тестирования безопасности приложений (IAST), которые анализируют запущенный код приложения в режиме реального времени. Этот подход помогает подтвердить или, наоборот, опровергнуть существование критической уязвимости, указать на ее причину, а также предоставить разработчикам полезную информацию, например стэк-трэйсы или детали строки кода, чтобы им удалось исправить уязвимость системы безопасности быстрее и более точно».
С появлением WebInspect Real-Time пользователи программных решений HP в области безопасности смогут: находить больше реальных уязвимостей — HP Fortify SecurityScope, новое интегрированное приложение для тестирования безопасности, использует технологии, позволяющие HP WebInspect Real-Time идентифицировать и исправлять новые виды уязвимостей, не обнаруживаемые при помощи «разрозненных» (отдельных) технологий для тестирования безопасности; точнее оценивать существующие уязвимости в приложениях — HP WebInspect 9.1 уже сейчас позволяет отображать уязвимости в таблице с возможностью поиска; быстрее исправлять уязвимости — посредством анализа запущенного кода приложения, осуществляемого с помощью HP Fortify SecurityScope, HP WebInspect Real-Time предоставляет определенную информацию для дальнейшего действия, в частности стэк-трейсы или строки кода (выявление приоритетов (приоритезация) обнаруженных проблем облегчается за счет удаления уязвимостей-дубликатов).
«Fortify и HP созданы для того, чтобы уязвимости в программном коде разрабатываемых приложений обнаруживались как можно раньше, — заявил Брайан Чесс, один из основателей и главный научный специалист компании Fortify Software, принадлежащей HP. — Сегодня с помощью HP WebInspect Real-Time мы совмещаем статичный и динамичный анализ с реализованными внутри одного приложения динамичными тестами безопасности, которые позволяют очень быстро находить и исправлять проблемы».
HP WebInspect Real-Time уже доступен для заказа по всему миру; программный пакет включает в себя HP WebInspect и HP Fortify Security Scope
Источник: CNews