Pakiet IBM Rational AppScan umożliwia pracę grupową podczas

Transkrypt

Zawiadomienie dotyczące oprogramowania firmy IBM dla regionu Europa, Bliski Wschód i Afryka
ZP11-0433, 15 listopada 2011 r.
Pakiet IBM Rational AppScan umożliwia pracę
grupową podczas testów zabezpieczeń, które
obejmują analizy dynamiczne, statyczne i mieszane, w
całym cyklu tworzenia oprogramowania.
Spis treści
1
2
Omówienie
Kluczowe wymagania
2
2
Planowany termin dostępności
Opis
Omówienie
Zabezpieczenia aplikacji i zarządzanie ryzykiem wymagają zaawansowanego
testowania zabezpieczeń oraz głębokiej integracji z cyklem projektowania aplikacji.
Pakiet Rational® AppScan® oferuje obie te funkcje, a ponadto wprowadza
strukturalne (Glass Box) testy zabezpieczeń oraz ulepszoną platformę do
centralnego zarządzania testami zabezpieczeń aplikacji i ryzykiem, które są
traktowane jako krytyczne elementy zarządzania cyklem życia aplikacji.
Pakiet Rational AppScan Standard Edition zawiera teraz oczekujące na
opatentowanie testy strukturalne z analizą w czasie wykonywania, które stanowią
formę interakcyjnego testowania zabezpieczeń aplikacji (Interactive Application
Security Testing, IAST). Strukturalne testy zabezpieczeń dostępne w pakiecie
AppScan to najnowszy produkt ewolucji analizy hybrydowej, która łączy analizę
dynamiczną (Black Box) służącą do symulowania ataków z wewnętrznym agentem
monitorującym zachowanie aplikacji podczas ataku. To połączenie zdalnego agenta
z tradycyjnymi testami typu Black Box daje dokładniejsze wyniki testów i umożliwia
określenie nowych kategorii zagrożeń, a ponadto wskazuje konkretne wiersze kodu
powodujące problem i przedstawia szczegółowe informacje pomagające w eliminacji
problemu.
W celu zagwarantowania głębszej integracji z cyklem życia aplikacji pakiet Rational
AppScan Enterprise Edition został przeprojektowany. To obsługujące pracę grupową
rozwiązanie do testowania zabezpieczeń aplikacji i zarządzania ryzykiem centralnie
zarządza analizą dynamiczną (Black Box), analizą kodu źródłowego (White Box) i
oferuje krytyczne funkcje integracji z zarządzaniem cyklem życia aplikacji. Pakiet
AppScan Enterprise oferuje centralne repozytorium oraz funkcje zaspokajające
potrzeby testerów, programistów i kontrolerów bezpieczeństwa.
To wydanie stanowi kolejny krok na drodze firmy IBM® do ulepszenia cyklu
projektowania oprogramowania w zakresie zabezpieczeń przez promowanie pracy
grupowej podczas programowania oraz integrację z aktualnie używanymi procesami
programowania.
Potrzeba kompleksowego testowania zabezpieczeń, wynikająca z podejścia
„Bezpieczne od projektu”, nigdy nie była większa. Klienci tworzą aplikacje
przeznaczone do wdrożenia w środowiskach chmury, więc zabezpieczenia otrzymały
najwyższy priorytet.
Wyposażenie starszych aplikacji w interfejs internetowy spowodowało konieczność
poprawienia ich zabezpieczeń. I wreszcie rosnące użycie aplikacji pakietowych
spowodowało szybki wzrost liczby wdrożeń nowych funkcji w interfejsach
internetowych. Wersja 8.5 pakietu Rational AppScan zawiera funkcje stanowiące
odpowiedź na te potrzeby.
Zawiadomienie dotyczące oprogramowania firmy IBM
dla regionu Europa, Bliski Wschód i Afryka
IBM to zastrzeżony znak towarowy firmy
International Business Machines Corporation
1
Pakiet Rational AppScan Source Edition oferuje teraz dodatkową obsługę analizy
starszych aplikacji dzięki możliwości analizy kodu źródłowego w języku COBOL.
Klienci realizujący projekty modernizacji przedsiębiorstwa mogą teraz analizować
napisany w języku COBOL kod źródłowy aplikacji wewnętrznych, używając technik
analizy statycznej pakietu AppScan, oraz testować nowe aplikacje interfejsu
internetowego, używając technik analizy dynamicznej firmy IBM.
Pakiet AppScan Source Edition zawiera teraz także funkcję testowania jakości kodu,
której można używać w środowisku IDE i podczas automatycznej kompilacji w celu
wykrywania defektów jakości na poziomie kodu za pomocą kluczowych wskaźników
wydajności śledzących jakość kodu.
Firma IBM wciąż przesuwa granice analizy hybrydowej, która łączy wyniki analizy
statycznej i dynamicznej w celu zmniejszenia liczby fałszywych pozytywnych
wyników, co umożliwia skoncentrowanie się na wprowadzaniu potrzebnych
poprawek. W wersji 8.5 pakiet AppScan Enterprise obsługuje automatyczną analizę
hybrydową aplikacji .NET.
Kluczowe wymagania
Szczegółowe informacje można znaleźć w częściach i .
Planowany termin dostępności
•
15 listopada 2011: dostępność elektroniczna;
•
22 listopada 2011: dostępność nośników.
Opis
Rational AppScan
Najskuteczniejszym sposobem unikania luk w zabezpieczeniach aplikacji jest
bezpieczne tworzenie oprogramowania od samego początku. Problem polega na
tym, że większość programistów nie jest ekspertami w dziedzinie bezpieczeństwa,
a bezpieczne kodowanie nigdy nie było priorytetem. W wyniku tego aplikacje
internetowe i nieinternetowe są nadal wdrażane mimo luk w zabezpieczeniach, które
można wykorzystać w celu przechwytywania poufnych danych.
Ograniczony personel zajmujący się zabezpieczeniami informatycznymi nie jest w
stanie pomyślnie wykonać uciążliwego zadania wykrywania luk w zabezpieczeniach i
usuwania ich. Oznacza to, że najlepszym sposobem zaangażowania programistów w
proces zabezpieczania aplikacji jest dostarczenie narzędzi pasujących do używanego
przez nich środowiska i przepływu pracy, które generują wyniki w zrozumiałym dla
nich języku. Pakiet Rational AppScan oferuje szereg funkcji służących do testowania
zabezpieczeń aplikacji w całym cyklu życia aplikacji.
Rational AppScan to wiodący pakiet do testowania zabezpieczeń aplikacji,
który pomaga w zarządzaniu testami mającymi na celu wykrywanie luk w
zabezpieczeniach w całym cyklu projektowania oprogramowania. Pakiet AppScan
stanowi rozwiązanie pozwalające oszczędzać czas w przypadku wszystkich rodzajów
testów zabezpieczeń — zlecanych firmom zewnętrznym, indywidualnych i analiz
prowadzonych w obrębie całego przedsiębiorstwa — i wszystkim użytkownikom —
programistom aplikacji, menedżerom kompilacji, zespołom zapewniania jakości,
testerom, kontrolerom bezpieczeństwa i wyższej kadrze zarządzającej.
Pakiet AppScan oferuje techniki analizowania obejmujące skanowanie działającej
aplikacji lub jej kodu źródłowego, analizowanie i testowanie aplikacji lub jej kodu,
sprawdzanie poprawności uzyskanych wyników i raportowanie wyników. Generowane
raporty zawierają zalecenia dotyczące rozwiązań problemów. Te zaawansowane
zalecenia dotyczące rozwiązań stanowią źródło wiedzy i pomoc dla programistów
2
oraz kontrolerów bezpieczeństwa w zakresie identyfikowania i usuwania wykrytych
podczas skanowania luk w zabezpieczeniach.
Edycje pakietu Rational AppScan w wersji 8.5.0
•
•
•
•
Rational AppScan Standard Edition to rozwiązanie dla stacji roboczych
służące do automatyzacji testowania zabezpieczeń aplikacji internetowych.
Używane przez testerów zabezpieczeń i kontrolerów bezpieczeństwa oraz działy
zapewniania jakości i programowania.
Rational AppScan Enterprise Edition to wyposażone w interfejs internetowy
rozwiązanie dla wielu użytkowników oferujące scentralizowane skanowanie
zabezpieczeń aplikacji, konsolidację danych i raportowanie, funkcje
rozwiązywania problemów, pulpity nawigacyjne dla kierownictwa, raportowanie
zgodności i płynną integrację z pakietem AppScan Standard Edition.
Rational AppScan Source Edition automatyzuje analizę kodu źródłowego w
celu wykrywania luk w zabezpieczeniach oraz usuwanie ich dzięki integracji z
procesami i narzędziami dla projektantów i programistów, takimi jak systemy
kompilacji i środowiska IDE.
Rational AppScan Tester Edition for Rational Quality Manager integruje
testy zabezpieczeń z procesem zapewniania jakości, a także obsługuje proces
zapewniania jakości oprogramowania i zarządzanie jakością oprogramowania.
Rational Policy Tester®
Rational Policy Tester to najlepsze rozwiązanie do zarządzania zgodnością witryn
internetowych służące do oceniania stopnia zachowania prywatności użytkowników
końcowych, ułatwień dostępu oraz problemów z jakością witryn internetowych,
które mają negatywny wpływ na zgodność i efektywność witryny oraz możliwości
oferowane użytkownikom końcowym. Program Policy Tester umożliwia uzyskanie
znacznych oszczędności na operacjach internetowych dzięki zautomatyzowaniu
ręcznych procesów oraz identyfikowaniu i priorytetyzowaniu problemów ze
zgodnością, które wymagają natychmiastowego rozwiązania.
Oprogramowanie Policy Tester występuje w następujących wersjach:
•
•
•
Rational Policy Tester, Privacy Edition — służy do ujawniania i zgłaszania
przeoczeń mogących narazić organizację na niepotrzebne ryzyko i problemy
związane z brakiem oświadczeń o prywatności, stronami gromadzącymi
niezgodnie z prawem dane osobowe, niezabezpieczonymi formularzami do
zbierania danych i obecnością plików cookie. Te problemy mają krytyczne
znaczenie dla klientów, którzy muszą przestrzegać regulacji prawnych
dotyczących prywatności, takich jak COPPA, GLBA, HIPAA i kalifornijskie przepisy
SB1386 i AB1950.
Rational Policy Tester, Accessibility Edition — pomaga zagwarantować
dostępność witryny internetowej dla wszystkich użytkowników, w tym
uzyskującym dostęp do witryny za pomocą technik wspomagających, takich
jak czytniki ekranu lub klawiatury Braille'a. Wykonując setki rozbudowanych
kontroli ułatwień dostępu, takich jak sprawdzanie odpowiedniego kontrastu
między kolorem tekstu a kolorem tła lub obecność tagów „alt”, które zawierają
tekst alternatywny dla obrazów, to oprogramowanie pomaga ustalić poziom
zgodności witryny ze standardami określonymi przez rząd USA, w tym z sekcją
508 wytycznych rządu USA oraz innymi wytycznymi, takimi jak Web Content
Accessibility Guidelines (WCAG) konsorcjum W3C, francuski standard AccessiWeb
i inne standardy międzynarodowe.
Rational Policy Tester, Quality Edition — generuje raporty dotyczące
problemów mających wpływ na jakość i efektywność witryny internetowej, w tym
problemów takich jak błędy pisowni, niedziałające łącza i nieaktualna zawartość.
Ten program pomaga zwiększać użyteczność witryn oraz wydajność pracowników,
ponieważ gwarantuje, że informacje będą dokładne i łatwe do znalezienia.
Pomaga także organizacjom w zachowaniu wewnętrznej jakości i standardów
projektowania witryn internetowych przy jednoczesnym zwiększeniu możliwości
oferowanych klientom. Warto pamiętać, że użyteczność witryny internetowej ma
bezpośredni wpływ na wyniki handlu elektronicznego i generowanie przychodów.
3
Pakiet Rational AppScan Standard Edition w wersji 8.5 zawiera następujące
ulepszenia:
•
Testy strukturalne z analizą w czasie wykonywania łączące analizę dynamiczną
(Black Box) z wewnętrznym agentem monitorującym zachowanie aplikacji
podczas ataku. To połączenie zdalnego agenta z tradycyjnymi testami typu Black
Box daje dokładniejsze wyniki testów i umożliwia określenie nowych kategorii
zagrożeń, a ponadto wskazuje konkretne wiersze kodu powodujące problem i
przedstawia szczegółowe informacje pomagające w eliminacji problemu.
•
Większa dokładność działania modułu JavaScript
Security Analyzer
dostarczającego funkcję analizy hybrydowej wykorzystującą analizę statyczną
i dynamiczną w celu znajdowania luk w zabezpieczeniach kodu JavaScript po
stronie klienta.
Automatyczne wykrywanie nawigacji opartej na parametrach w module Scan
Expert upraszczające konfigurację skanowania aplikacji, w których parametry są
używane do nawigowania między zawartością a funkcjami.
•
(TM)
Pakiet Rational AppScan Enterprise Edition w wersji 8.5 zawiera
następujące ulepszenia:
•
•
•
•
Scentralizowana platforma do zarządzania analizą dynamiczną (Black Box),
analizą kodu źródłowego (White Box) i krytycznymi funkcjami integracji z
zarządzaniem cyklem życia aplikacji.
Nowe narzędzie Dynamic Analysis Scanner, które jest wdrażane odrębnie
od oprogramowania Enterprise Server, służące do skalowania skanowania
dynamicznego w całej organizacji.
Integracja z oprogramowaniem IBM Security SiteProtector i IBM Security
Network IPS umożliwia przekazywanie wyników wyszukiwania luk w
zabezpieczeniach do programu SiteProtector, który następnie tworzy
niestandardowe zasady zabezpieczeń w programie IPS służące do blokowania
ataków polegających na wykorzystaniu określonych luk w zabezpieczeniach.
Ulepszona funkcja analizy hybrydowej obecnie koreluje luki w zabezpieczeniach
aplikacji .NET znalezione przez funkcje analizy typu Black Box (dynamiczna) i
White Box (statyczna).
Pakiet Rational AppScan Source Edition w wersji 8.5 zawiera następujące
ulepszenia:
•
Obsługa szerokiej gamy aplikacji oraz języków COBOL, PL/SQL i T-SQL.
•
Funkcja testowania jakości kodu, której można używać w środowisku IDE i
podczas automatycznej kompilacji w celu wykrywania defektów jakości na
poziomie kodu za pomocą kluczowych wskaźników wydajności śledzących jakość
kodu.
Integracja z oprogramowaniem Virtual Forge CodeProfiler umożliwiająca
wykonywanie statycznej analizy aplikacji SAP ABAP.
Interfejs użytkownika umożliwiający programistom i osobom, które nie są
ekspertami w zakresie zabezpieczeń, szybkie znajdowanie w kodzie luk w
zabezpieczeniach i usuwanie ich.
•
•
Dodatkowe informacje
Łącza do niektórych wymienionych części nie zostały zawarte w niniejszej krótkiej
wersji zawiadomienia. W celu uzyskania dalszych informacji i dostępu do tych
części należy zapoznać się z pełną treścią zawiadomienia (w języku angielskim).
ZP11-0433
Zasady korzystania
Do produktów i usług firmy IBM wymienionych w niniejszym zawiadomieniu i
dostępnych w danym kraju mają zastosowanie standardowe umowy, warunki,
postanowienia i ceny obowiązujące w danym momencie. Firma IBM zastrzega sobie
prawo do modyfikacji i wycofania niniejszego zawiadomienia w dowolnej chwili bez
4
wcześniejszego powiadomienia. Niniejsze zawiadomienie dostarczane jest wyłącznie
w celach informacyjnych. Odwołania do innych produktów zawarte w niniejszym
zawiadomieniu nie muszą oznaczać, że produkty te są lub będą oferowane w danym
kraju. Warunki dodatkowe zamieszczono pod adresem:
http://www.ibm.com/legal/us/en/
Najnowsze informacje o produktach firmy IBM można uzyskać od przedstawiciela
firmy IBM lub sprzedawcy produktów firmy IBM, a także na ogólnoświatowej stronie
kontaktowej firmy IBM pod adresem
http://www.ibm.com/planetwide/
5

Pakiet IBM Rational AppScan umożliwia pracę grupową podczas

Transkrypt

Podobne dokumenty

Bateria IBM ThinkPad T30 6cell 4400mAh

Program Konferencji i Targów „Edu IT. Nowe technologie w edukacji

IBM Rational TestManager

8.05.2012

Idealna para

Oprogramowanie IBM Rational AppScan zapewnia nowe