- HP Assessment Management Platform 8.0: Mit der verteilten, skalierbaren Plattform zur Steuerung von Sicherheitstests können Unternehmen die Kosten für das Testing senken und Risiken in Anwendungen minimieren. Version 8.0 erlaubt es, Sicherheitsprobleme nach ihrer Bedeutung für geschäftskritische Abläufe zu priorisieren - begrenzte Ressourcen lassen sich damit gezielt einsetzen. Die Priorisierung erfolgt durch die Zuweisung bestimmter Schlagwörter (Tagging), die für das Unternehmen relevant sind. Zudem unterstützt die neue Version den Aufbau eines Center of Excellence für das Sicherheits-Testing.
- HP WebInspect 8.0: dient der genauen Analyse von komplexen Web-Anwendungen. Die neue Version bietet statische Analysemethoden für Adobe Flash-Anwendungen, automatisierte Sicherheitsscans sowie standardisierte Reporting-Funktionen.
- HP Software-as-a-Service (SaaS) für Application Security Center: Im SaaS-Modell können Unternehmen ihre Sicherheits-Software für Web-Anwendungen schnell und kostengünstig in einer Komplettlösung zentralisieren, die von HP bereitgestellt und verwaltet wird.
HP WebInspect 8.0 und HP Assessement Management Platform 8.0 sind ab sofort verfügbar. Das SaaS-Modell für die HP Assessment Management Platform wird voraussichtlich im Mai 2009 zur Verfügung stehen.
Center of Excellence: verbesserte Anwendungs-Sicherheit, geringere Kosten
Die HP Assessment Management Platform 8.0 erlaubt es Unternehmen, ein Center of Excellence (CoE) für Anwendungs-Sicherheit aufzubauen. Dieses Modell sieht vor, dass ein kleines Team von Sicherheitsspezialisten die Ergebnisse von Sicherheitstests analysiert, die von Mitarbeitern durchgeführt wurden, die selbst keine Sicherheitsexperten sind. Hierfür bietet die Software neue Reporting-Funktionen. Neue Reports liefern Informationen zum durchschnittlichen Risiko pro Seite und Monat sowie zu den Schwachstellen nach Gefährlichkeit und Site-Tag und nach Kategorie und Site-Tag. Außerdem lassen sich mehrere Sicherheitsscans in einem Report konsolidieren. Die Funktion zur Überwachung von Sicherheitsscans im Fernzugriff wurde in der neuen Software-Version erweitert. Details zu den Sicherheitslücken können jetzt bereits abgerufen werden, während der Scan noch läuft. Antwortzeit- und Statusinformationen über jede aktuell bearbeitete Webseite werden angezeigt. Weiterhin können die Scan-Aktivitäten und der Scan-Log nun auch über die Web-Konsole abgerufen werden.
Die Tests finden innerhalb der bestehenden Prozesse für Entwicklung, Qualitätssicherung und IT-Betrieb statt. Dadurch erhöht sich die Anwendungs-Sicherheit über den gesamten Applikations-Lebenszyklus hinweg. Dabei gilt: Je früher das Problem identifiziert wird, desto geringer sind die Kosten. Sicherheitslücken können bereits im Entwicklungsprozess erkannt und behoben werden.
HP WebInspect 8.0 und die HP Assessment Management Platform 8.0 bieten
- Identifizierung und Behebung von Sicherheitslücken in Web 2.0-Applikationen - mit neuen Methoden zur statischen Analyse von Adobe Flash-Anwendungen - sowie Path Tracing für dynamische JavaScript/Ajax-Applikationen,
- Automatisierung von Scans, die bisher nur manuell durchgeführt werden konnten,
- die Depth-first Crawling-Methode zur besseren Tiefenanalyse. Bei dieser Methode wird zunächst der erste Link auf einer Webseite analysiert und dann direkt die damit verbundene Webseite, bevor auf der Ursprungsseite der zweite Link analysiert wird. Im Gegensatz dazu werden bei der Breadth-first Crawling-Methode, die auch unterstützt wird, alle Links auf einer Seite analysiert, bevor ein Drill-Down zu den damit verlinkten Seiten erfolgt. Mittels Depth-first Crawling werden nun auch Java Model View Control-Anwendungen (Java MVC) unterstützt,
- Zeitersparnis durch automatisierte Funktionen für schnellere Testinstallation und standardisierte Analyse.
Das neue SaaS-Modell für die HP Application Security Center Software umfasst zusätzlich Services für Sicherheitsscans und für Penetrationstests. Die Services
- unterstützen die Sicherheitsexperten auf Kundenseite bei kritischen Projekten oder erhöhtem Testaufwand,
- bieten Know-how rund um die Anforderungen an Sicherheitsscans für Web 2.0-Technologien und
- beraten Kunden beim Aufbau eines unternehmensweiten, effektiven Verfahrens für Sicherheitsscans von Web-Anwendungen - unter Berücksichtigung der Compliance-Anforderungen.