Компания Secure Decisions, провайдер набора инструментов для разработчиков ПО и аналитиков в области безопасности, выпустила новую версию своего решения для проверки качества программного кода Code Dx.
Новый релиз, Code Dx 1.6, интегрируется с Microsoft Visual Studio и Eclipse, а также с Git и Jenkins, позволяя разработчикам более эффективно выявлять, включать в отчет и устранять слабые мести на протяжении всего цикла создания ПО.
«Code Dx помогает устранять слабые места в ПО прежде, чем ими смогут воспользоваться хакеры, — сказала директор Secure Decisions Анита Д’Амико. — Разработчики могут просто в любое время направить свой исходный код в Code Dx на протяжении цикла создания ПО, и Code Dx автоматически выберет и запустит соответствующие инструменты SAST с открытым исходным кодом для каждого языка в кодовой базе ПО. Главное внимание в версии 1.6 наша команда разработчиков уделила интеграции. Обеспечивая полную интеграцию с популярными инструментами разработки, Code Dx облегчает постоянную проверку безопасности на протяжении всего цикла разработки ПО».
По данным Identity Theft Resource Center, в 2014 г. количество случаев хищения данных в США выросло по сравнению с 2013 г. на 27,5%. Отраслевые эксперты и министерство внутренней безопасности связывают большинство взломов с плохо написанным ПО. С помощью инструментов Static Application Security Testing (SAST) можно выявлять уязвимости на протяжении всего цикла разработки и в рамках процесса приобретения ПО.
Предоставляя программистам плагины для таких интегрированных сред разработки (IDE) как Visual Studio и Eclipse, Code Dx устраняет большой этап процесса тестирования, экономя время. Теперь разработчики могут оставаться в среде Visual Studio или Eclipse, находить и исправлять ошибки, не переходя из веб-интерфейса Code Dx в IDE и обратно. Они могут также дважды щелкнуть в любом месте отчета, увидеть соответствующий исходный код и тут же внести в него исправление.
Кроме того, благодаря интеграции с популярной версией системы управления Git для разработчиков ПО пользователям Code Dx теперь необходимо просто однажды ее настроить и подключить Code Dx непосредственно к репозиторию исходного кода. А затем Code Dx автоматически будет извлекать код и пропускать его через сканеры. Это избавляет пользователей от необходимости каждый раз формировать пакеты исходного кода, передавать их в Code Dx и сканировать.
Более того, тесная интеграция с Jenkins, сервером непрерывной интеграции для сред Java, означает, что плагин Code Dx может находиться в том же проекте. Когда Jenkins обрабатывает код и находит какие-то ошибки, он может передать фрагменты в Code Dx для сканирования на предмет обнаружения уязвимостей.
Исследования показывают, что свыше 80% компьютерных атак используют уязвимости в ПО, возникшие по недосмотру в процессе разработки. Code Dx помогает программистам и аналитикам безопасности находить уязвимости в исходном коде на Java, C++, C# и Ruby on Rails, определять их приоритетность и визуализировать их.
Визуальная аналитика Code Dx, разработанная в рамках программы DHS Science & Technology (S&T) Directorate Small Business Innovative Research (SBIR), помогает специалистам по инжинирингу (включая разработчиков ПО, аудиторов безопасности, ответственных за соблюдение требований регуляторов и инженеров, дающих гарантию качества) сортировать и приоритизировать обнаруженные в ПО уязвимости с целью их эффективного устранения. Такая аналитика представлена на веб-сайте DHS Software and Supply Chain Assurance.
Code Dx представляет собой аналитический пакет для проверки качества программного кода, который собирает в единый список и упорядочивает уязвимости в ПО, выявленные различными инструментами для анализа кода. Визуальная аналитика помогает сортировать и приоритизировать уязвимости ПО для их эффективного устранения. Она задумывалась и разрабатывалась с целью оказания помощи разработчикам ПО, ИБ-аналитикам, аудиторам систем безопасности и руководителям ИБ-служб в решении вопросов, связанных с обеспечением информационной безопасности.