Echtzeit-Security-Testing für Anwendungen
Die Software WebInspect Real-Time hat HP jetzt vorgestellt. Sie überwacht Anwendungen in Echtzeit, während sie dynamisch auf Schwachstellen untersucht werden. Mit Hilfe der Software sollen Sicherheitstester Verwundbarkeiten bis auf einzelne Quellcode-Zeilen zurückführen, um sie dann beheben zu können.
Durch das Entdecken von Schwachstellen sollen laufende oder neu entwickelte Anwendungen vor Angriffen geschützt und dadurch Unternehmen vor Folgen wie Datenverlust oder Imageschaden bewahrt werden können. HP WebInspect Real-Time basiert auf den Software-Lösungen HP WebInspect 9.1 und Fortify SecurityScope, um Anwendungen anzugreifen und gleichzeitig von innen heraus zu beobachten.
»Dynamische Software-Testverfahren überprüfen Web-Applikationen und identifizieren typische Angriffsmuster - aber selbst wenn sie eine Verwundbarkeit entdecken, können sie nicht genau auf die Stelle im Quellcode verweisen, in der die Lücke vorliegt«, sagt Joseph Feiman, Vize-Präsident und Partner bei Gartner. Deshalb habe man Technologien entwickelt, um den Code während der Laufzeit in Echtzeit zu überwachen, während die Anwendung getestet werde. »Damit lässt sich entscheiden, ob eine Verwundbarkeit ausnutzbar ist und wo sie sich befindet. Außerdem bekommen Entwickler konkrete Informationen wie stack traces und Code-Details, sodass sie die Sicherheitslücke schnell und präzise schließen können«, so Feiman.
Die neue HP-Lösung kombiniert dynamische Software-Tests mit den Informationen aus statischen oder Laufzeitanalysen. Damit kann in bewährter Weise eine dynamische Sicherheitsanalyse der Applikation durchgeführt werden, während gleichzeitig der Angriff von innen heraus beobachtet wird. Auf dieser Grundlage wird der Quellcode identifiziert, der die Schwachstellen enthält.
