РАЗРАБОТКА ПО
Появляются инструменты для раннего выявления уязвимостей
ИдеЯ обеспечения безопасности приложений на этапе разработки кода находит все больше приверженцев; сегодня уже целый ряд компаний создает инструменты, помогающие разработчикам выявлять уязвимости на ранних стадиях рабочего процесса.
Одна из таких фирм, Ounce Labs, не только предлагает ПО для анализа слабых мест исходного кода, но и пытается поддерживать программистов, работающих в области безопасности. В декабре эта компания выступила с программой Secure Foundations Initiative, нацеленной на сотрудничество с университетами в обучении разработчиков безопасного ПО.
По инициативе Ounce Labs создан фонд в размере свыше 500 млн. долл. для присуждения грантов на разработку ПО и исследования в области безопасности. Как сообщил исполнительный директор Ounce Labs Джек Дэнахи, программа стимулирования охватит Университет Джорджа Вашингтона, High Assurance Computing and Networking Lab Южного методистского университета, Военную академию США в Уэст-Пойнте и Center for Education and Research in Information Assurance and Security Университета Purdue.
"Это проблема, которую необходимо осмыслить и решить, - говорит Дэнахи. - Очень многие ее не понимают, и во всем мире найдется не больше 500 человек, умеющих компетентно проверять безопасность кода".
В мае прошлого года Ounce выпустила свое средство Prexis, которое автоматически сканирует исходный код для анализа безопасности приложения и выявления уязвимых мест в процессе его разработки.
"Я хочу, чтобы наши студенты прогоняли свой код через этот инструмент, дабы увидеть свои вероятные огрехи в плане безопасности - без всякого предварительного инструктажа или планирования безопасности своего кода, а просто для того, чтобы понять, в чем состоят уже известные подвохи", - говорит Рон Додж, директор операционного ИТ-центра Военной академии США в Уэст-Пойнте.
По словам Джули Райан, профессора по управлению информационной безопасностью Университета Джорджа Вашингтона (Вашингтон), одна из проблем ИТ-безопасности состоит в том, что рынок требует быстроты и дешевизны разработки ПО. Из-за этого не уделяется должного внимания безопасности кода.
Следует приветствовать появление инструментов, помогающих обеспечивать безопасность на стадии разработки, считает Додж из Уэст-Пойнта. По его словам, работать без них - все равно что строить стену, не имея нивелира.
Хотя средства для автоматизации обнаружения уязвимостей ПО уже существуют, о них еще мало кто знает. Корпорация Microsoft собирается в следующей версии своего пакета Visual Studio Tools предоставить разработчикам возможность проверки уязвимостей ПО.
По тому же пути идет и компания Kenai Systems, которая в конце минувшего года представила свое средство обеспечения безопасности Web-сервисов ExamineST. Как заявил ее исполнительный директор Билл Кессельринг, продукт позволяет осуществлять оценку уязвимостей и тестировать проблемы Web-сервисов на этапе их разработки. ExamineST дает возможность импортировать WSDL-файлы (Web Services Description Language) и проверять их на соответствие спецификации Web Services Security и другим известным источникам данных об уязвимостях.