ZP11-0433, 15 listopada 2011 r. Pakiet IBM Rational AppScan umożliwia pracę grupową podczas testów zabezpieczeń, które obejmują analizy dynamiczne, statyczne i mieszane, w całym cyklu tworzenia oprogramowania. Spis treści 1 Omówienie 2 Planowany termin dostępności 2 Kluczowe wymagania 2 Opis Omówienie Zabezpieczenia aplikacji i zarządzanie ryzykiem wymagają zaawansowanego testowania zabezpieczeń oraz głębokiej integracji z cyklem projektowania aplikacji. Pakiet Rational AppScan oferuje obie te funkcje, a ponadto wprowadza strukturalne (Glass Box) testy zabezpieczeń oraz ulepszoną platformę do centralnego zarządzania testami zabezpieczeń aplikacji i ryzykiem, które są traktowane jako krytyczne elementy zarządzania cyklem życia aplikacji. Pakiet Rational AppScan Standard Edition zawiera teraz oczekujące na opatentowanie testy strukturalne z analizą w czasie wykonywania, które stanowią formę interakcyjnego testowania zabezpieczeń aplikacji (Interactive Application Security Testing, IAST). Strukturalne testy zabezpieczeń dostępne w pakiecie AppScan to najnowszy produkt ewolucji analizy hybrydowej, która łączy analizę dynamiczną (Black Box) służącą do symulowania ataków z wewnętrznym agentem monitorującym zachowanie aplikacji podczas ataku. To połączenie zdalnego agenta z tradycyjnymi testami typu Black Box daje dokładniejsze wyniki testów i umożliwia określenie nowych kategorii zagrożeń, a ponadto wskazuje konkretne wiersze kodu powodujące problem i przedstawia szczegółowe informacje pomagające w eliminacji problemu. W celu zagwarantowania głębszej integracji z cyklem życia aplikacji pakiet Rational AppScan Enterprise Edition został przeprojektowany. To obsługujące pracę grupową rozwiązanie do testowania zabezpieczeń aplikacji i zarządzania ryzykiem centralnie zarządza analizą dynamiczną (Black Box), analizą kodu źródłowego (White Box) i oferuje krytyczne funkcje integracji z zarządzaniem cyklem życia aplikacji. Pakiet AppScan Enterprise oferuje centralne repozytorium oraz funkcje zaspokajające potrzeby testerów, programistów i kontrolerów bezpieczeństwa. To wydanie stanowi kolejny krok na drodze firmy IBM do ulepszenia cyklu projektowania oprogramowania w zakresie zabezpieczeń przez promowanie pracy grupowej podczas programowania oraz integrację z aktualnie używanymi procesami programowania. Potrzeba kompleksowego testowania zabezpieczeń, wynikająca z podejścia Bezpieczne od projektu, nigdy nie była większa. Klienci tworzą aplikacje przeznaczone do wdrożenia w środowiskach chmury, więc zabezpieczenia otrzymały najwyższy priorytet. Wyposażenie starszych aplikacji w interfejs internetowy spowodowało konieczność poprawienia ich zabezpieczeń. I wreszcie rosnące użycie aplikacji pakietowych spowodowało szybki wzrost liczby wdrożeń nowych funkcji w interfejsach internetowych. Wersja 8.5 pakietu Rational AppScan zawiera funkcje stanowiące odpowiedź na te potrzeby. 1
Pakiet Rational AppScan Source Edition oferuje teraz dodatkową obsługę analizy starszych aplikacji dzięki możliwości analizy kodu źródłowego w języku COBOL. Klienci realizujący projekty modernizacji przedsiębiorstwa mogą teraz analizować napisany w języku COBOL kod źródłowy aplikacji wewnętrznych, używając technik analizy statycznej pakietu AppScan, oraz testować nowe aplikacje interfejsu internetowego, używając technik analizy dynamicznej firmy IBM. Pakiet AppScan Source Edition zawiera teraz także funkcję testowania jakości kodu, której można używać w środowisku IDE i podczas automatycznej kompilacji w celu wykrywania defektów jakości na poziomie kodu za pomocą kluczowych wskaźników wydajności śledzących jakość kodu. Firma IBM wciąż przesuwa granice analizy hybrydowej, która łączy wyniki analizy statycznej i dynamicznej w celu zmniejszenia liczby fałszywych pozytywnych wyników, co umożliwia skoncentrowanie się na wprowadzaniu potrzebnych poprawek. W wersji 8.5 pakiet AppScan Enterprise obsługuje automatyczną analizę hybrydową aplikacji.net. Kluczowe wymagania Szczegółowe informacje można znaleźć w częściach i. Planowany termin dostępności 15 listopada 2011: dostępność elektroniczna; 22 listopada 2011: dostępność nośników. Opis Rational AppScan Najskuteczniejszym sposobem unikania luk w zabezpieczeniach aplikacji jest bezpieczne tworzenie oprogramowania od samego początku. Problem polega na tym, że większość programistów nie jest ekspertami w dziedzinie bezpieczeństwa, a bezpieczne kodowanie nigdy nie było priorytetem. W wyniku tego aplikacje internetowe i nieinternetowe są nadal wdrażane mimo luk w zabezpieczeniach, które można wykorzystać w celu przechwytywania poufnych danych. Ograniczony personel zajmujący się zabezpieczeniami informatycznymi nie jest w stanie pomyślnie wykonać uciążliwego zadania wykrywania luk w zabezpieczeniach i usuwania ich. Oznacza to, że najlepszym sposobem zaangażowania programistów w proces zabezpieczania aplikacji jest dostarczenie narzędzi pasujących do używanego przez nich środowiska i przepływu pracy, które generują wyniki w zrozumiałym dla nich języku. Pakiet Rational AppScan oferuje szereg funkcji służących do testowania zabezpieczeń aplikacji w całym cyklu życia aplikacji. Rational AppScan to wiodący pakiet do testowania zabezpieczeń aplikacji, który pomaga w zarządzaniu testami mającymi na celu wykrywanie luk w zabezpieczeniach w całym cyklu projektowania oprogramowania. Pakiet AppScan stanowi rozwiązanie pozwalające oszczędzać czas w przypadku wszystkich rodzajów testów zabezpieczeń zlecanych firmom zewnętrznym, indywidualnych i analiz prowadzonych w obrębie całego przedsiębiorstwa i wszystkim użytkownikom programistom aplikacji, menedżerom kompilacji, zespołom zapewniania jakości, testerom, kontrolerom bezpieczeństwa i wyższej kadrze zarządzającej. Pakiet AppScan oferuje techniki analizowania obejmujące skanowanie działającej aplikacji lub jej kodu źródłowego, analizowanie i testowanie aplikacji lub jej kodu, sprawdzanie poprawności uzyskanych wyników i raportowanie wyników. Generowane raporty zawierają zalecenia dotyczące rozwiązań problemów. Te zaawansowane zalecenia dotyczące rozwiązań stanowią źródło wiedzy i pomoc dla programistów 2
oraz kontrolerów bezpieczeństwa w zakresie identyfikowania i usuwania wykrytych podczas skanowania luk w zabezpieczeniach. Edycje pakietu Rational AppScan w wersji 8.5.0 Rational AppScan Standard Edition to rozwiązanie dla stacji roboczych służące do automatyzacji testowania zabezpieczeń aplikacji internetowych. Używane przez testerów zabezpieczeń i kontrolerów bezpieczeństwa oraz działy zapewniania jakości i programowania. Rational AppScan Enterprise Edition to wyposażone w interfejs internetowy rozwiązanie dla wielu użytkowników oferujące scentralizowane skanowanie zabezpieczeń aplikacji, konsolidację danych i raportowanie, funkcje rozwiązywania problemów, pulpity nawigacyjne dla kierownictwa, raportowanie zgodności i płynną integrację z pakietem AppScan Standard Edition. Rational AppScan Source Edition automatyzuje analizę kodu źródłowego w celu wykrywania luk w zabezpieczeniach oraz usuwanie ich dzięki integracji z procesami i narzędziami dla projektantów i programistów, takimi jak systemy kompilacji i środowiska IDE. Rational AppScan Tester Edition for Rational Quality Manager integruje testy zabezpieczeń z procesem zapewniania jakości, a także obsługuje proces zapewniania jakości oprogramowania i zarządzanie jakością oprogramowania. Rational Policy Tester Rational Policy Tester to najlepsze rozwiązanie do zarządzania zgodnością witryn internetowych służące do oceniania stopnia zachowania prywatności użytkowników końcowych, ułatwień dostępu oraz problemów z jakością witryn internetowych, które mają negatywny wpływ na zgodność i efektywność witryny oraz możliwości oferowane użytkownikom końcowym. Program Policy Tester umożliwia uzyskanie znacznych oszczędności na operacjach internetowych dzięki zautomatyzowaniu ręcznych procesów oraz identyfikowaniu i priorytetyzowaniu problemów ze zgodnością, które wymagają natychmiastowego rozwiązania. Oprogramowanie Policy Tester występuje w następujących wersjach: Rational Policy Tester, Privacy Edition służy do ujawniania i zgłaszania przeoczeń mogących narazić organizację na niepotrzebne ryzyko i problemy związane z brakiem oświadczeń o prywatności, stronami gromadzącymi niezgodnie z prawem dane osobowe, niezabezpieczonymi formularzami do zbierania danych i obecnością plików cookie. Te problemy mają krytyczne znaczenie dla klientów, którzy muszą przestrzegać regulacji prawnych dotyczących prywatności, takich jak COPPA, GLBA, HIPAA i kalifornijskie przepisy SB1386 i AB1950. Rational Policy Tester, Accessibility Edition pomaga zagwarantować dostępność witryny internetowej dla wszystkich użytkowników, w tym uzyskującym dostęp do witryny za pomocą technik wspomagających, takich jak czytniki ekranu lub klawiatury Braille'a. Wykonując setki rozbudowanych kontroli ułatwień dostępu, takich jak sprawdzanie odpowiedniego kontrastu między kolorem tekstu a kolorem tła lub obecność tagów alt, które zawierają tekst alternatywny dla obrazów, to oprogramowanie pomaga ustalić poziom zgodności witryny ze standardami określonymi przez rząd USA, w tym z sekcją 508 wytycznych rządu USA oraz innymi wytycznymi, takimi jak Web Content Accessibility Guidelines (WCAG) konsorcjum W3C, francuski standard AccessiWeb i inne standardy międzynarodowe. Rational Policy Tester, Quality Edition generuje raporty dotyczące problemów mających wpływ na jakość i efektywność witryny internetowej, w tym problemów takich jak błędy pisowni, niedziałające łącza i nieaktualna zawartość. Ten program pomaga zwiększać użyteczność witryn oraz wydajność pracowników, ponieważ gwarantuje, że informacje będą dokładne i łatwe do znalezienia. Pomaga także organizacjom w zachowaniu wewnętrznej jakości i standardów projektowania witryn internetowych przy jednoczesnym zwiększeniu możliwości oferowanych klientom. Warto pamiętać, że użyteczność witryny internetowej ma bezpośredni wpływ na wyniki handlu elektronicznego i generowanie przychodów. 3
Pakiet Rational AppScan Standard Edition w wersji 8.5 zawiera następujące ulepszenia: Testy strukturalne z analizą w czasie wykonywania łączące analizę dynamiczną (Black Box) z wewnętrznym agentem monitorującym zachowanie aplikacji podczas ataku. To połączenie zdalnego agenta z tradycyjnymi testami typu Black Box daje dokładniejsze wyniki testów i umożliwia określenie nowych kategorii zagrożeń, a ponadto wskazuje konkretne wiersze kodu powodujące problem i przedstawia szczegółowe informacje pomagające w eliminacji problemu. Większa dokładność działania modułu JavaScript (TM) Security Analyzer dostarczającego funkcję analizy hybrydowej wykorzystującą analizę statyczną i dynamiczną w celu znajdowania luk w zabezpieczeniach kodu JavaScript po stronie klienta. Automatyczne wykrywanie nawigacji opartej na parametrach w module Scan Expert upraszczające konfigurację skanowania aplikacji, w których parametry są używane do nawigowania między zawartością a funkcjami. Pakiet Rational AppScan Enterprise Edition w wersji 8.5 zawiera następujące ulepszenia: Scentralizowana platforma do zarządzania analizą dynamiczną (Black Box), analizą kodu źródłowego (White Box) i krytycznymi funkcjami integracji z zarządzaniem cyklem życia aplikacji. Nowe narzędzie Dynamic Analysis Scanner, które jest wdrażane odrębnie od oprogramowania Enterprise Server, służące do skalowania skanowania dynamicznego w całej organizacji. Integracja z oprogramowaniem IBM Security SiteProtector i IBM Security Network IPS umożliwia przekazywanie wyników wyszukiwania luk w zabezpieczeniach do programu SiteProtector, który następnie tworzy niestandardowe zasady zabezpieczeń w programie IPS służące do blokowania ataków polegających na wykorzystaniu określonych luk w zabezpieczeniach. Ulepszona funkcja analizy hybrydowej obecnie koreluje luki w zabezpieczeniach aplikacji.net znalezione przez funkcje analizy typu Black Box (dynamiczna) i White Box (statyczna). Pakiet Rational AppScan Source Edition w wersji 8.5 zawiera następujące ulepszenia: Obsługa szerokiej gamy aplikacji oraz języków COBOL, PL/SQL i T-SQL. Funkcja testowania jakości kodu, której można używać w środowisku IDE i podczas automatycznej kompilacji w celu wykrywania defektów jakości na poziomie kodu za pomocą kluczowych wskaźników wydajności śledzących jakość kodu. Integracja z oprogramowaniem Virtual Forge CodeProfiler umożliwiająca wykonywanie statycznej analizy aplikacji SAP ABAP. Interfejs użytkownika umożliwiający programistom i osobom, które nie są ekspertami w zakresie zabezpieczeń, szybkie znajdowanie w kodzie luk w zabezpieczeniach i usuwanie ich. Dodatkowe informacje Łącza do niektórych wymienionych części nie zostały zawarte w niniejszej krótkiej wersji zawiadomienia. W celu uzyskania dalszych informacji i dostępu do tych części należy zapoznać się z pełną treścią zawiadomienia (w języku angielskim). ZP11-0433 Zasady korzystania Do produktów i usług firmy IBM wymienionych w niniejszym zawiadomieniu i dostępnych w danym kraju mają zastosowanie standardowe umowy, warunki, postanowienia i ceny obowiązujące w danym momencie. Firma IBM zastrzega sobie prawo do modyfikacji i wycofania niniejszego zawiadomienia w dowolnej chwili bez 4
wcześniejszego powiadomienia. Niniejsze zawiadomienie dostarczane jest wyłącznie w celach informacyjnych. Odwołania do innych produktów zawarte w niniejszym zawiadomieniu nie muszą oznaczać, że produkty te są lub będą oferowane w danym kraju. Warunki dodatkowe zamieszczono pod adresem: http://www.ibm.com/legal/us/en/ Najnowsze informacje o produktach firmy IBM można uzyskać od przedstawiciela firmy IBM lub sprzedawcy produktów firmy IBM, a także na ogólnoświatowej stronie kontaktowej firmy IBM pod adresem http://www.ibm.com/planetwide/ 5