Обеспечение безопасности интернет-приложений в течение всего их жизненного цикла — разработки, внедрения, эксплуатации.
Необходимость проверки безопасности в течение жизненного цикла
Инициативы в сфере обеспечения безопасности интернет-приложений начинаются с того, что эксперты приобретают готовый программный продукт. Тестируя данный продукт и обнаруживая слабые места в защите, специалисты довольно часто сталкиваются с рядом проблем. Так, порядка 80 процентов дефектов безопасности приложений обнаруживается в исходном коде. Эксперты по безопасности регулярно обнаруживают дефекты защиты приложений и сообщают о них разработчикам, а также оказывают помощь в их устранении, как разработчикам, так и группам по контролю качества. Довольно быстро разработчики и эксперты начинают понимать всю важность обеспечения безопасности исходного кода с самого начала разработки, еще на этапе внедрения новой функциональности в приложение.
Крупным командам разработчиков требуются новые программные решения, предоставляющие информацию о приложениях и дефектах их защиты и в то же время позволяющие проверять их собственные системы безопасности.
Приложение HP Application Security Center
Линейка программных продуктов по обеспечению безопасности HP предлагает общие определения политики безопасности, централизованное управление доступом, а также удаленный доступ к данным по безопасности. Эти программы поддерживают полный жизненный цикл приложения с момента его разработки до запуска в эксплуатацию.
Линейка программных продуктов HP Application Security Center дает возможность экспертам по безопасности, разработчикам, а также группам контроля качества виявлять дефекты безопасности программного обеспечения уже на самых ранних стадиях жизненного цикла разработки приложений, что значительно экономит время и средства. Программные продукты, входящие в состав HP Application Security Center, созданы с учетом многообразия их использования. Ряд организаций по разработке и контролю качества хотели бы видеть HP AS Center уже интегрированным в среду разработки и тестирования. Другим необходимо централизованное решение для проведения проверок безопасности лишь уполномоченными членами групп по мере необходимости. Многие организации применяют комбинированный подход, при котором эксперты-профессионалы управляют общей программой обеспечения безопасности, сотрудничая с разработчиками, группами по контролю качества и экспертами. Всем им необходимы гибкие решения, позволяющие определять и управлять процессами обеспечения безопасности интернет-приложений.
Программные продукты HP DevInspect, HP QAInspect и HP WebInspect специально созданы для разработчиков, специалистов по контролю качества и экспертов по безопасности. Платформа HP Assessment Management объединяет линейку из трех программных продуктов и дает возможность их использования для разных целей и задач. Вместе эти продукты предоставляют эффективное решение по обеспечению информационной безопасности для предприятия.
HP Weblnspect
HP Weblnspect представляет собой простую, гибкую и точную программу для оценки безопасности интернет-приложений. Многие эксперты-профессионалы побезопасности начинают свою работу с программы HP WebInspect. Она позволяет не только экспертам, но и новичкам определять критичные, несущие большой риск дефекты безопасности в интернет-приложениях и службах. Программа HP Weblnspect соответствует усложненной версии Web 2.0. Она способна идентифицировать те бреши в безопасности, которые прочие сканеры определить не в состоянии. HP WebInspect поддерживает самые современные и сложные интернет-технологии. В программу включены революционные инновации в сфере тестинга, такие, как «crawl and audit» (SCA) и одномоментное сканирование приложения, что позволяет быстро и точно автоматизировать уровень безопасности интернет-приложения.
HP Devlnspect
Программа HP DevInspect упрощает подход к безопасности для разработчиков. Она автоматически находит и устраняет дефекты защиты приложений. Программа также помогает разработчикам быстро и легко создавать безопасные интернет-приложения и службы точно в срок, не требуя дополнительных проверок. Программа HP DevInspect устанавливается на компьютер каждого разработчика. Используя гибридный подход к анализу, она комбинирует анализ исходного кода с тестированием методом «черного ящика» (black box), что позволяет уменьшить количество ложных ошибок и обнаружить дополнительные дефекты защиты. Программа HP DevInspect совместима со следующими интегрированными средами разработки программного обеспечения (англ. IDE, Integrated development environment):
- Microsoft® Visual Studio 2003 и 2005
- IBM Rational Application Developer 6 и 7
- Eclipse 31 или выше
- Также выпускается отдельная версия для среды разработки Eclipse
- Поддержка C#, Java™, Visual Basic, hypertext markup language (HTML), extensible markup language (XML), Simple Object Access Protocol (SOAP), web service definition language (WSDL), JavaScript, VBScript
HP QAInspect
Программа HP QAInspect применяет инновационные технологии, позволяя обнаружить дефекты безопасности приложений с точки зрения хакера. Программа предлагает эксперту по контролю качества отчет об уязвимости приложения с детальными характеристиками системы безопасности, а также краткий приоритетный список слабих мест с их полным описанием. Результаты анализа предоставляют детальную информацию о возможных типах атак, включая сценарии XSS или SQL, а также о соответствии нормативным актам, включая стандарты Sarbanes-Oxley (SOX), Health Insurance Portability and Accountability Act (HIPAA) и payment card industry (PCI).
Программа HP QAInspect совместима со следующими про-граммными продуктами:
- Приложение HP Quality Center
- Приложения HP WinRunner и HP QuickTest Professional
Платформа HP Assessment Management
Платформа HP Assessment Management позволяет проводить глобальные проверки всех интернет-приложений, а ее автоматический планировщик позволяет группам проводить периодические проверки безопасности. Платформа HP Assessment Management также включает в себя развернутые системы отчетности, что позволяет группам контроля качеств обмениваться информацией и протоколами безопасности с группами разработчиков и экспертами по безопасности.
