Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Тестируем сканеры программного кода

Джастин Скач

По мере того как в вашей инфраструктуре приложений появляется все больше заказного ПО, изменяется и картина угроз безопасности. Позволит ли автоматизированный сканер программного кода обезопасить ваш бизнес или он способен лишь усыплять бдительность ИТ-персонала, а в это время злоумышленники будут незаметно прокрадываться в вашу сеть?

Помните те времена, когда компьютерные взломщики мечта-ли лишь о славе и известности, безопасность же приложений была проблемой, касающейся кого угодно, но только не вас? «Огонь» хакеров на себя отвлекали такие крупные мишени, как Microsoft и Oracle. ИТ-подразделениям предприятий приходилось только регулярно инсталлировать «заплаты» да следить за соблюдением правильной конфигурации межсетевых экранов (МЭ).

Все это осталось в прошлом. Сегодня взлом корпоративных сетей детской забавой не назовешь. Теперь это — растущая в масштабах прибыльная криминальная деятельность. Компьютерные взломщики, похитившие 45,6 млн номеров кредитных карт в корпорации TJX, были в достаточной степени профессиональными поэтому и оставались необнаруженными по меньшей мере в течение 10 мес. Тем временем крупные производители ПО, включая Microsoft, усовершенствовали свои методы его создания, оно стало более безопасным, что заставило злоумышленников переключиться на нишевые и заказные программы и веб-приложения.

Похоже, в ИТ-подразделениях предприятий наконец-то начинают понимать, какими неприятностями чреваты для них рискованные приемы программирования. В ходе проведенного в 2006 г. Институтом компьютерной безопасности (Computer Security Institute — CSI) и ФБР США исследования Computer Crime and Security Survey было установлено, что наиболее критичными в 2008 г. будут считаться проблемы защиты БД и безопасности прикладного ПО, которые будут важнее проблем соблюдения требований нормативных актов.

Если вы считаете, что ваша сеть находится вне опасности, то учтите, что большинство программ создаются не для коммерческого распространения, а являются продуктом собственной разработки либо делаются по контракту в соответствии со специфическими требованиями заказчика. Заказное ПО лежит в основе преобладающего числа всевозможных бизнес-приложений, начиная с динамических веб-узлов, решений SOA (Service-Oriented Architecture) и электронной коммерции и кончая администрированием и автоматизацией бизнес-процессов. Ну и, кроме того, оно предоставляет богатую мишенями среду для вездесущих злоумышленников.

В ответ на растущую эскалацию угроз в нормативных актах HIPAA и PCI DSS (Payment Card Industry Data Security Standard) предусмотрены процедуры, призванные повысить безопасность приложений (или по меньшей мере в них подразумевается необходимость таковых процедур).

И конечно же, там, где имеет место подобное регулирование, немедленно возникают дополнительные возможности для маркетинга. Так, производители автоматизированных средств анализа исходного программного кода переключают свое внимание с поставщиков коммерческого ПО на сами предприятия. Они уверяют, что, вооружившись их инструментальными средствами, разработчики смогут создавать более безопасное заказное ПО и при этом еще и соблюдать требования нормативных актов.

Но способны ли должным образом выполнять эту работу анализаторы кода?

Чтобы выяснить это, мы в лаборатории Neohapsis в Чикаго инсталлировали три популярных статических анализатора исходного программного кода: Fortify SCA (Source Code Analysis) 4.0 фирмы Fortify Software, K7.5 компании Klocwork и Ounce 4.1 фирмы Ounce Labs. Мы также попросили прислать нам свой анализатор компанию Coverity, однако она отклонила наше предложение, сославшись на недостаток ресурсов.

Полную версию данной статьи смотрите в 11-ом номере журнала за 2007 год.





  
11 '2007
СОДЕРЖАНИЕ

бизнес

• Селу и полю — по телефону

сети связи

• От DSLAM — к мультисервисным платформам доступа

• Видео в корпоративных сетях: тенденции рынка

инфраструктура

• Проектирование и создание ЦОДа

• Альтернативные решения для БЛВС

информационные системы

• Готовы ли вы к Ubuntu?

кабельные системы

• На виражах кабельных трасс. Продукты и решения

• Выбираем многомодовое волокно для 10-Гбит/с систем

защита данных

• Тестируем сканеры программного кода

• Тестируем системы предотвращения «выжимки» данных


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх