Címkék: adatbiztonság, gépi tanulás, Micro Focus
Gépi tanulással fejleszthető az alkalmazásbiztonsági tesztelés
A vállalatok busás árat fizethetnek, ha akár csak egyetlen olyan szoftvert is igénybe vesznek, amely a kiberbűnözők által kihasználható sebezhetőséget tartalmaz.

 

A sérülékenységek azonosítása, rangsorolása és javítása azonban komoly szakértelmet és erőfeszítéseket igényel. A Micro Focus speciális megoldása anonimizált adatok és gépi tanulás segítségével teszi lehetővé, hogy a vállalatok egy kiterjedt közösség tapasztalataira alapozva tudják megkeresni és fontossági sorrendben javítani a hibákat. Egyre több biztonsági résre derül fény a szoftverekben.

Az általánosan elterjedt sebezhetőségeket listázó CVE Programban például 2021-ben 20 161 sérülékenységet tettek közzé. 2022-re pedig már az ötödével nőtt ez a szám (25 059-re), míg 2023-ban csak az első félévben már 14 149 hibát azonosítottak. Ezeket a gyenge pontokat használhatják ki a kiberbűnözők arra, hogy betörjenek a cégek rendszereibe, ezért a réseket minél hamarabb be kell foltozni.

Nem késhet a hibajavítás

A vállalatoknak tehát kiemelt figyelmet kell fordítaniuk az alkalmazásaik biztonságára, a potenciális sebezhetőségek azonosítására és javítására. Ugyanakkor ez nem lassíthatja le a szoftverfejlesztési ciklusaikat sem, hiszen a gyorsan változó felhasználói igények miatt rövid idő alatt kell elkészíteni és kiadni a szoftverek új funkcióit és frissítéseit.

A vállalatoknak ezért egyszerre kell szem előtt tartaniuk a hatékonyságot és a biztonságot az alkalmazásfejlesztés során. Ehhez érdemes a biztonsági tesztelést és javításokat is integrálni a fejlesztési folyamatokba, lehetőség szerint minél korábbi fázisokban. Minél később derül fény ugyanis a biztonsági résekre a fejlesztési ciklusban, annál nagyobb csúszást okoz a szoftver kiadásában a foltozás.

Szintén segíti a fejlesztési folyamatok hatékonyságának növelését, ha sikerül felgyorsítani a hibák keresését és javítását. Előbbi a legtöbb esetben már rövid idő alatt lefuttatható, mivel a statikus alkalmazásbiztonsági tesztelési (SAST – Static Application Security Testing) eszközök képesek bármely alkalmazás forráskódját átvizsgálni és azonosítani a kódban a sebezhetőségeket. A vizsgálatok eredményeit azonban értelmezni is kell, majd a javítások megkezdése előtt érdemes rangsorolni is a hibákat, hogy a kritikus fontosságúak kerüljenek sorra legelőször.

Profi és pontos toplista

Ilyen esetben hasznos, ha olyan fejlett megoldást használnak, mint a Fortify család. Ez a portfólió ugyanis olyan megoldást is tartalmaz, amely fejlett technológiára támaszkodva segít prioritás szerint rendezni a hibákat. Az eszköz azonosítja azokat a kritikus sérülékenységeket, amelyeket valóban ki tudnának használni a rosszindulatú támadók, és ezeket helyezi a lista elejére.

Az eljárás olyan osztályozási rendszert alkalmaz, amelyet gépi tanulással korábbi tesztek szakértők által auditált és anonimizált metaadataira alapozva alakítottak ki. Tehát semmilyen személyes adatot nem használ fel attól a szervezettől, ahol az elemzést lefuttatták, ám minden olyan hasznos adatot tartalmaz az egyes sérülékenységről, amely a szakmai döntéshez szükséges.

A sebezhetőség kategóriájától és súlyosságától kezdve a kód és a szoftver sebezhetőségéhez kapcsolódó adatokig, beleértve a programozási nyelvet, a fájlkiterjesztést és egyéb információkat. A módszer lehetővé teszi, hogy a teljes Fortify közösség szakmai tapasztalatát kihasználják a javításra váró hibák rangsorolásához anélkül, hogy érzékeny információk sérülnének.

Az eszköz a Micro Focus mérései alapján akár 98 százalékos pontossággal képes azonosítani a problémákat, miközben a fals negatívok aránya kevesebb, mint 1 százalék, a kézi ellenőrzésre fordított idő pedig akár 58 százalékkal is csökkenhet. A Fortify termékekhez ráadásul magyar nyelvű támogatás is elérhető, akár személyes jelenléttel, konzultációval és tanácsadással, így a helyi vállalatok minden felmerülő kérdésükre választ kaphatnak.

 

| Nyitókép: Adobe Stock

Szerző: Micro Focus
2024.01.09.
Mégsem eszi meg reggelire az AI az informatikusokat
Az IT-szektorban véget ért a kivárás időszaka, és a lapokat ismét a munkavállalók osztják. A No Fluff Jobs legfrissebb Salary Guide riportja megerősíti: nemcsak a fizetések törtek újra csúcsra, de érkezik a bértranszparencia is, ami örökre véget vet a „mennyit is kérhetek?” típusú sötétben való tapogatózásnak.
A zöld átmenet vakfoltja: miért nő tovább a kibocsátás a megújulók sikere mellett?
A megújuló energiaforrások globális térnyerése látványos, mégsem hozza el automatikusan a fosszilis korszak végét. Egy friss tanulmány szerint a probléma gyökere nem elsősorban technológiai, hanem szerkezeti.
Szoftverrel bővíti hálózati kapacitását az osztrák áramcég
Az áramszolgáltatók számára egyre nagyobb kihívást jelent a napelemek, szélerőművek és az úgynevezett „prosumerek” megjelenése, akik nemcsak fogyasztják, hanem termelik is a villamos energiát. Mindez sokkal összetettebbé teszi a hálózat működését, miközben nincs idő és lehetőség hosszadalmas fejlesztésekre.
A kvantummérnökök lehetnek a következő évtizedek legkeresettebb szakemberei
A kvantumtechnológia már ma is aktívan formálja az adatfeldolgozási folyamatokat, a precíziós szenzorokat és az anyagtudományi innovációkat, a következő évtizedekben pedig a globális ipar egyik legfontosabb növekedési motorjává válhat.
A fizikai mesterséges intelligencia új korszakot nyit a robotikában
A Deloitte Tech Trends 2026 kutatás legfrissebb elemzése szerint a fizikai mesterséges intelligencia (physical AI) új korszakot nyit a robotikában. Az előre programozott, merev működésű gépeket egyre inkább olyan alkalmazkodó, tanuló rendszerek váltják fel, amelyek képesek komplex, változó és kiszámíthatatlan környezetben is biztonságosan működni.
Impresszum | Adatkezelés