"Dynamische Software-Testverfahren überprüfen Web-Applikationen und identifizieren typische Angriffsmuster - aber selbst wenn sie eine Verwundbarkeit entdecken, können sie nicht genau auf die Stelle im Quellcode verweisen, in der die Lücke vorliegt," sagt Joseph Feiman, Vize-Präsident und Partner bei Gartner. "Deshalb wurden Technologien entwickelt, die den Code während der Laufzeit in Echtzeit überwachen, während die Anwendung getestet wird. Damit lässt sich entscheiden, ob eine Verwundbarkeit ausnutzbar ist und wo sie sich befindet. Außerdem bekommen Entwickler konkrete Informationen wie stack traces und Code-Details, sodass sie die Sicherheitslücke schnell und präzise schließen können."
HP WebInspect Real-Time kombiniert dynamische Software-Tests mit den Informationen aus statischen oder Laufzeitanalysen in einer einzigen Lösung. Damit kann in bewährter Weise eine dynamische Sicherheitsanalyse der Applikation durchgeführt werden, während gleichzeitig der Angriff von innen heraus beobachtet wird. Auf dieser Grundlage wird der Quellcode identifiziert, der Verwundbarkeiten enthält.
Damit können Anwender:
- Mehr relevante Schwachstellen entdecken: WebInspect führt automatisiert externe Angriffe auf die zu testende Web-Applikation durch. Module (Engines) simulieren dabei das Verhalten eines Hackers. HP Fortify SecurityScope läuft als Teil der getesteten Anwendung und ermöglicht WebInspect dadurch in Echtzeit tiefen Einblick bis auf Quelltext-Ebene. Damit können Sicherheitslücken entdeckt werden, die bei isolierten Softwaretests unentdeckt bleiben.
- Sicherheitslücken besser verstehen und schneller beheben: Eine umfassende Benutzeroberfläche ermöglicht dem Tester Rückschlüsse auf Fehler und Schwachstellen. Um diese Lücken schnell zu beheben, liefert HP WebInspect Real-Time Information darüber, an welcher Stelle sich diese Lücken befinden - beispielsweise Stack-Traces oder die Codezeilen. Außerdem liefert es Lösungsvorschläge und Code-Beispiele, um die Lücke schnell zu beheben. Redundante Sicherheitslücken werden erkannt und entfernt. Durch eine Integration in HP Quality Center oder HP Application Lifecycle Management lassen sich die Fundstellen in den Standardprozess der Software-Entwicklung integrieren.
"Es gilt, Verwundbarkeiten so früh wie möglich im Entwicklungsprozess einer Anwendung zu finden und zu behen" sagt Brian Chess, Mitgründer und Chief Scientist von Fortify Software, an HP Company. "Jetzt sind wir durch HP WebInspect Real Time in der Lage, statische und Laufzeitanalyse mit dynamischen Sicherheitstests zu verbinden. Unsere Kunden können damit Sicherheitslücken früher entdecken und beheben."
Screenshots von HP WebInspect: http://www.flickr.com/...
Weitere Informationen zu HP WebInspect: https://www.fortify.com/...
Weitere Informationen zu HP Quality Center: https://h10078.www1.hp.com/...
Weitere Informationen zu HP Application Lifecycle Management: https://h10078.www1.hp.com/...
Vom 11.-14. September findet in Washington die Sicherheits-Veranstaltung HP Protect statt. HP zeigt dort, wie sich Unternehmen vor Cyber-Attacken schützen können.
Weitere Informationen zur HP Protect: http://www.arcsight.com/...