HPE WebInspect Real-Time

В июле 2011 года HP представила HP WebInspect Real-Time — программное решение для динамического тестирования безопасности приложений, которое анализирует программный код приложения в режиме реального времени, тем самым обеспечивая наибольшую точность при поиске уязвимостей.

HP WebInspect Real-Time базируется на движке HP WebInspect 9.1 и работает в паре с HP Fortify Security Scope. Программа осуществляет «вторжение» в приложение и позволяет выполнить тестирование безопасности, в ходе которого можно обнаружить уязвимость, если таковая существует, в строке кода приложения.

Программные решения для динамического анализа, создаваемые с целью выявления и исправления уязвимостей в коде программы и ее конфигурации, «вторгаются» в определенное приложение в автоматическом режиме. Данный подход к динамическому тестированию обеспечивает самый быстрый путь к поиску и исправлению уязвимостей, однако в условиях изоляции (когда программа действует одна) он может оказаться неэффективным для идентификации файла-источника кода и строки кода, ответственных за возникшую уязвимость системы безопасности.

HP WebInspect Real-Time «вторгается» в приложение путем запуска внешних автоматизированных тестов безопасности. Затем программа анализирует «поведение» кода приложения в условиях внешней атаки и собирает внутреннюю информацию о приложении, в том числе данные на уровне кода. Такое взаимодействие технологий в режиме реального времени обеспечивает более точное обнаружение опасных уязвимостей и предоставление имеющихся способов снижения угроз.

«Программные решения в области динамического тестирования безопасности приложений (DAST) сканируют веб-приложения и идентифицируют возможные пути атак, которые могут помешать работе приложения. Однако, когда уязвимость найдена, приложения DAST не указывают, в какой конкретной строке найдена уязвимость, — рассказал Джозеф Файман, вице-президент Gartner. — Данная ситуация привела к появлению интегрированных решений в области тестирования безопасности приложений (IAST), которые анализируют запущенный код приложения в режиме реального времени. Этот подход помогает подтвердить или, наоборот, опровергнуть существование критической уязвимости, указать на ее причину, а также предоставить разработчикам полезную информацию, например стэк-трэйсы или детали строки кода, чтобы им удалось исправить уязвимость системы безопасности быстрее и более точно».

С появлением WebInspect Real-Time пользователи программных решений HP в области безопасности смогут:

• находить больше реальных уязвимостей: HP Fortify SecurityScope, новое интегрированное приложение для тестирования безопасности, использует технологии, позволяющие HP WebInspect Real-Time идентифицировать и исправлять новые виды уязвимостей, не обнаруживаемые при помощи «разрозненных» (отдельных) технологий для тестирования безопасности;
• точнее оценивать существующие уязвимости в приложениях: HP WebInspect 9.1 уже сейчас позволяет отображать уязвимости в таблице с возможностью поиска;
• быстрее исправлять уязвимости: посредством анализа запущенного кода приложения, осуществляемого с помощью HP Fortify SecurityScope, HP WebInspect Real-Time предоставляет определенную информацию для дальнейшего действия, в частности стэк-трейсы или строки кода. Выявление приоритетов (приоритезация) обнаруженных проблем облегчается за счет удаления уязвимостей-дубликатов.

HP WebInspect Real-Time уже доступен для заказа по всему миру; программный пакет включает в себя HP WebInspect и HP Fortify Security Scope.

Представленные решения в области безопасности приложений являются ключевыми элементами портфеля решений по тестированию защищенности и управлению рисками, которые помогают организациям двигаться по пути их преобразования в Инновационные предприятия HP (Instant-On Enterprise). Такое предприятие подкрепляет технологиями все свои операции, чтобы незамедлительно удовлетворять потребности коммерческих и государственных компаний, партнеров и частных лиц.