Neue Softwareanalyse-Funktionen von IBM helfen Unternehmen dabei, ihre Web-Anwendungen noch sicherer zu machen. Die neuen Erweiterungen des IBM Rational AppScan-Portfolios ermöglichen die Bewertung von Sicherheitsrisiken über den gesamten Software-Lifecycle hinweg.
Mit Hilfe der neuen Funktionen können Unternehmen die Ergebnisse aus verschiedenen Schwachstellenanalysen in einer Ansicht konsolidieren, so dass auch bei global verteilten Teams Sicherheitslücken schneller identifiziert werden können. Damit lassen sich die mit Sicherheits- und Compliance-Themen verbundenen Risiken und Kosten verringern. Sicherheits-Audits und das Scannen des Source-Codes können automatisiert werden, was den dafür erforderlichen Aufwand deutlich reduziert.
Laut dem 2010 von IBM veröffentlichten Trend-Report X-Force stammen 55 Prozent aller Sicherheitsschwachstellen aus Web-Anwendungen. Das macht sie zu den größten Risiken im Unternehmen. Laut der Studie hat die Menge der Computerbedrohungen in der ersten Jahreshälfte 2010 um 36 Prozent zugenommen. Über 4000 neue Schwachstellen wurden im Vergleich zum Vorjahr dokumentiert.
Web-Anwendungen sind häufig anfällig, weil die Sicherheit nicht bereits bei ihrer Entwicklung ausreichend berücksichtigt wird. Unternehmen brauchen daher Strategien, die garantieren, dass die Sicherheit der Anwendungen während des gesamten Entwicklungszyklus sichergestellt und überprüft wird. Dazu benötigt man zusätzliche Test- und Analyse-Möglichkeiten.
Die neuen Erweiterungen des IBM Rational AppScan-Portfolios helfen Entwicklern, Schwachstellen leichter zu analysieren und zu identifizieren. Mit der sogenannten String-Analyse können Entwickler beispielsweise Sicherheitstests vereinfachen. Hier stellt die Software automatisch fest, welche Eingaben einer Web-Anwendung bereinigt werden müssen, um Sicherheitsrisiken zu beseitigen. Diese Funktion macht Sicherheitstests für Entwickler genauer und effizienter, unabhängig davon, wie erfahren sie in Sachen Sicherheit sind.
"Schwachstellen in Web-Anwendungen häufen sich. Unternehmen brauchen daher eine Möglichkeit, ihre Anwendungen während des gesamten Entwicklungszyklus zu testen - und das möglichst ohne dafür zusätzliche Ressourcen abstellen zu müssen", so Steve Robinson, General Manager, IBM Security Solutions. "Dank Akquisitionen von Security-Spezialisten wie Ounce Labs und Watchfire sowie unserer eigenen Forschungsarbeit können wir umfassende Lösungen in den Bereichen Security Governance, Zusammenarbeit und Risiko-Management anbieten und Unternehmen so vor bösartigen Angriffen schützen."
Neue Funktionen, mehr Sicherheit
Das sind die neuen Funktionen im IBM Rational AppScan Portfolio:
- Konsolidierte Schwachstellenübersicht: Das Hybrid Analysis Reporting bietet eine automatische Korrelation von Ergebnissen aus statischen und dynamischen Code-Analysen. Diese Visualisierung erweitert die Rational AppScan Enterprise Edition und ermöglicht es Unternehmen bei der Sicherheit ihrer Web-Anwendungen einen strategischen Ansatz zu wählen, indem die Entwicklerteams einen Überblick über die Compliance-Risiken für ein Unternehmen erhalten. Diese Funktion ist zunächst für Java verfügbar.
- Breiterer Scan-Ansatz erkennt blinde Flecken: Das Hybrid Analysis Scanning ermöglicht gleichzeitig statische Code-Analysen und dynamische Testanalysen. Dadurch lassen sich mehr Schwachstellen erkennen als zuvor. Diese Funktion ist eine Erweiterung der Rational AppScan Standard Edition, sie unterstützt JavaScript.
- Einfachere Sicherheitseinschätzung: Die String-Analyse, eine entscheidende Erweiterung der Rational AppScan Source Edition, ermöglicht die Anpassung von Anwendungssicherheitstests durch die Entwickler-Community. Die String-Analyse erkennt automatisch, welcher Code zur Bereinigung des Inputs von Nutzern in Web-Anwendungen angewendet werden soll und prüft außerdem, ob dieser sauber programmiert ist. Entwickler-Teams können damit Code leichter, schneller und genauer testen.
- Unterstützung mehrerer Frameworks: Neu innerhalb der Rational AppScan Source Edition ist auch das Extensible Application Framework. Diese Funktion ermöglicht unterschiedliche Web-Entwicklungs-Frameworks in die Sicherheitsanalyse mit einzubinden, egal ob kommerzielle, Open Source oder selbst entwickelte Framworks. Dies ist wichtig für die Testabdeckung und Zuverlässigkeit des Source-Codes.
Das IBM Rational Software-Portfolio unterstützt außerdem das CAC/PKI Protokoll, das Regierungen hilft, nicht-autorisierte Zutritte in physische und digitale Umgebungen zu verhindern und so sensitive Informationen zu schützen. IBM bietet umfassende Dienstleistungen für Design, Entwicklung und Implementierung von Smartcards bzw. Biometrie-Lösungen sowie CAC/PKI-Implementierungen als Teil der Unterstützung des kompletten Software-Lebenszyklus.
Weitere Informationen und Links:
http://www-01.ibm.com/...
http://www-05.ibm.com/...
http://ww.ibm.com/security
Mit Hilfe der neuen Funktionen können Unternehmen die Ergebnisse aus verschiedenen Schwachstellenanalysen in einer Ansicht konsolidieren, so dass auch bei global verteilten Teams Sicherheitslücken schneller identifiziert werden können. Damit lassen sich die mit Sicherheits- und Compliance-Themen verbundenen Risiken und Kosten verringern. Sicherheits-Audits und das Scannen des Source-Codes können automatisiert werden, was den dafür erforderlichen Aufwand deutlich reduziert.
Laut dem 2010 von IBM veröffentlichten Trend-Report X-Force stammen 55 Prozent aller Sicherheitsschwachstellen aus Web-Anwendungen. Das macht sie zu den größten Risiken im Unternehmen. Laut der Studie hat die Menge der Computerbedrohungen in der ersten Jahreshälfte 2010 um 36 Prozent zugenommen. Über 4000 neue Schwachstellen wurden im Vergleich zum Vorjahr dokumentiert.
Web-Anwendungen sind häufig anfällig, weil die Sicherheit nicht bereits bei ihrer Entwicklung ausreichend berücksichtigt wird. Unternehmen brauchen daher Strategien, die garantieren, dass die Sicherheit der Anwendungen während des gesamten Entwicklungszyklus sichergestellt und überprüft wird. Dazu benötigt man zusätzliche Test- und Analyse-Möglichkeiten.
Die neuen Erweiterungen des IBM Rational AppScan-Portfolios helfen Entwicklern, Schwachstellen leichter zu analysieren und zu identifizieren. Mit der sogenannten String-Analyse können Entwickler beispielsweise Sicherheitstests vereinfachen. Hier stellt die Software automatisch fest, welche Eingaben einer Web-Anwendung bereinigt werden müssen, um Sicherheitsrisiken zu beseitigen. Diese Funktion macht Sicherheitstests für Entwickler genauer und effizienter, unabhängig davon, wie erfahren sie in Sachen Sicherheit sind.
"Schwachstellen in Web-Anwendungen häufen sich. Unternehmen brauchen daher eine Möglichkeit, ihre Anwendungen während des gesamten Entwicklungszyklus zu testen - und das möglichst ohne dafür zusätzliche Ressourcen abstellen zu müssen", so Steve Robinson, General Manager, IBM Security Solutions. "Dank Akquisitionen von Security-Spezialisten wie Ounce Labs und Watchfire sowie unserer eigenen Forschungsarbeit können wir umfassende Lösungen in den Bereichen Security Governance, Zusammenarbeit und Risiko-Management anbieten und Unternehmen so vor bösartigen Angriffen schützen."
Neue Funktionen, mehr Sicherheit
Das sind die neuen Funktionen im IBM Rational AppScan Portfolio:
- Konsolidierte Schwachstellenübersicht: Das Hybrid Analysis Reporting bietet eine automatische Korrelation von Ergebnissen aus statischen und dynamischen Code-Analysen. Diese Visualisierung erweitert die Rational AppScan Enterprise Edition und ermöglicht es Unternehmen bei der Sicherheit ihrer Web-Anwendungen einen strategischen Ansatz zu wählen, indem die Entwicklerteams einen Überblick über die Compliance-Risiken für ein Unternehmen erhalten. Diese Funktion ist zunächst für Java verfügbar.
- Breiterer Scan-Ansatz erkennt blinde Flecken: Das Hybrid Analysis Scanning ermöglicht gleichzeitig statische Code-Analysen und dynamische Testanalysen. Dadurch lassen sich mehr Schwachstellen erkennen als zuvor. Diese Funktion ist eine Erweiterung der Rational AppScan Standard Edition, sie unterstützt JavaScript.
- Einfachere Sicherheitseinschätzung: Die String-Analyse, eine entscheidende Erweiterung der Rational AppScan Source Edition, ermöglicht die Anpassung von Anwendungssicherheitstests durch die Entwickler-Community. Die String-Analyse erkennt automatisch, welcher Code zur Bereinigung des Inputs von Nutzern in Web-Anwendungen angewendet werden soll und prüft außerdem, ob dieser sauber programmiert ist. Entwickler-Teams können damit Code leichter, schneller und genauer testen.
- Unterstützung mehrerer Frameworks: Neu innerhalb der Rational AppScan Source Edition ist auch das Extensible Application Framework. Diese Funktion ermöglicht unterschiedliche Web-Entwicklungs-Frameworks in die Sicherheitsanalyse mit einzubinden, egal ob kommerzielle, Open Source oder selbst entwickelte Framworks. Dies ist wichtig für die Testabdeckung und Zuverlässigkeit des Source-Codes.
Das IBM Rational Software-Portfolio unterstützt außerdem das CAC/PKI Protokoll, das Regierungen hilft, nicht-autorisierte Zutritte in physische und digitale Umgebungen zu verhindern und so sensitive Informationen zu schützen. IBM bietet umfassende Dienstleistungen für Design, Entwicklung und Implementierung von Smartcards bzw. Biometrie-Lösungen sowie CAC/PKI-Implementierungen als Teil der Unterstützung des kompletten Software-Lebenszyklus.
Weitere Informationen und Links:
http://www-01.ibm.com/...
http://www-05.ibm.com/...
http://ww.ibm.com/security
