סינופסיס אינק. (Nasdaq: SNPS) הכריזה על הזמינות של גרסה משמעותית חדשה של Seeker, פתרון IAST (Interactive Application Security Testing – בדיקת אבטחת מידע אינטראקטיבית של יישומים), גרסה שתוכננה מחדש בכדי לאפשר DevSecOps ואספקה שוטפת של יישומי web מאובטחים. Seeker משתלב באופן רציף בתוך pipelines של CI/CD ומנטר יישומי web במהלך מחזורי בדיקה המתבצעים לפני שלב הייצור. Seeker עושה שימוש בטכנולוגיה מוגנת בפטנט ומהווה את פתרון אבטחת היישומים היחיד שמזהה ומאמת באופן אוטומטי אם חולשות (vulnerabilities) בקוד ניתנות לניצול לרעה בפועל. באופן זה, הפתרון מספק למפתחים מידע מדויק בזמן אמת, על פיו הם יכולים לפעול.
“בזמן שבו 34% מהמפתחים אומרים שהם יוצרים build תוכנה מספר פעמים ביום או במהלך check-in, בדיקת אבטחת מידע של יישומים חייבת לרוץ באותם חלונות זמן, או שייווצר סיכון שמנגנון הפיתוח יישחק עד לרמה שבה הוא ייעצר”, כתבה איימי דמרטין, אנליסטית ראשית בחברת המחקר פורסטר . “בדיקה דינמית של אבטחת יישומים מהווה כבר זמן רב נטל על ארגונים שמנסים לבדוק אבטחת מידע באותן מהירויות שבהן מתבצעים הפיתוחים”.
הגישה הייחודית של Seeker מצמצמת באופן שוטף את סיכון אבטחת המידע בלולאת משוב קצרה, כפתרון משלים לסריקות DAST (Dynamic Application Security Testing) ובדיקות חדירה שמתבצעות בשלב מאוחר יותר בתהליך הפיתוח ודורשות לעיתים קרובות מחזורי בדיקה ייעודיים ותהליך ידני של אימות תוצאות ומיון ראשוני. בכדי לטפל בסיכוני תלות בתוכנה, Seeker משלב את תהליך Black Duck Binary Analysis (לשעבר Protecode SC) במטרה לאבחן באופן אוטומטי נקודות תורפה ידועות וקונפליקטים של רישוי תוכנה ברכיבי תוכנת קוד פתוח. Seeker הוא פתרון ה-IAST היחיד שמספק מעקב אחרי נתונים רגישים בכדי לסייע להשיג ציות לתקנים ולרגולציות כמו PCI DSS ו-GDPR. Seeker הוא פתרון קל להתקנה ותומך בארכיטקטורות יישומים מקיפות מבוססות מחשוב ענן ומיקרו-שירותים (microservices).
“פתרון Seeker מתוכנן באופן ספציפי עבור ארגונים המאמצים DevOps וממנפים אוטומציה בכדי לספק ללקוחות שיפורים שוטפים בתוכנה”, אמר אנדראס קולמן, מנכ”ל קבוצת ה-Software Integrity בסינופסיס. “בזכות הניטור השוטף, הדיוק ללא תחרות וההכוונה מבוסס ההקשר של הטיפול בבעיות אבטחת מידע, Seeker מבטל את האלמנטים הידניים של בדיקות אבטחת מידע ומאפשר למפתחים לקחת בעלות על סיכוני היישום”.
בין התכונות המרכזיות של Seeker בגרסה 2018.07 ניתן למנות:
אימות אקטיבי של חולשות בקוד בכדי להשיג דיוק ללא תחרות: Seeker הוא פתרון ה-IAST היחיד המספק אימות אקטיבי אוטומטי בכדי לאשר שהחולשות שאותרו אכן ניתנות לניצול לרעה. אימות זה מושג באמצעות טכנולוגיה מוגנת בפטנט שמפעילה מחדש בקשות HTTP(S) מקוריות עם פרמטרים פגועים ומנטרת את זרימת הנתונים שנוצרת ביישום כתוצאה מבקשות אלה. התוצאה היא שיעור התראות שווא השואף לאפס, שהוא נמוך בהרבה מהשיעור בפתרונות IAST ו-DAST ומצמצם את העלות שכרוכה באימות ידני.
מעקב אחרי נתונים רגישים: Seeker הוא כלי ה-IAST היחיד שמאפשר לצוותי אבטחת מידע לזהות ולעקוב אחרי נתונים רגישים דוגמת מספרים של כרטיסי אשראי, שמות משתמש וסיסמאות, בכדי להבטיח שהם מטופלים באופן מאובטח ולא מאוחסנים בקובצי לוג או מסדי נתונים עם הצפנה חלשה או ללא הצפנה כלל. מעקב אחרי נתונים רגישים מסייע לארגונים לציית לרגולציות של אבטחת נתונים ובכללן PCI DSS, HIPAA ו-GDPR.
אינטגרציית CI/CD והתקנה גמישה: Seeker ניתן להתקנה למעשה בכל סוג של סביבת בדיקות אוטומטית או ידנית תוך דרישות תצורה מזעריות. Seeker מתאים באופן רציף לתוך CI/CD pipelines עם התקני פלאג-אין ילידיים ו-web APIs קלים לשימוש עבור מעקב אחרי שגיאות תוכנה, build וכלים לאוטומציה של בדיקות. Seeker תומך בארכיטקטורות יישומים תקניות מבוססות מחשוב ענן ומיקרו-שירותים (microservices) וניתן להגדיל את היקפו כך שיתאים לדרישות של ארגונים גדולים.
בתמונה מעלה: אנדראס קולמן, סגן נשיא בכיר של סינופסיס העולמית
