A sérülékenységek azonosítása, rangsorolása és javítása azonban komoly szakértelmet és erőfeszítéseket igényel. A Micro Focus speciális megoldása anonimizált adatok és gépi tanulás segítségével teszi lehetővé, hogy a vállalatok egy kiterjedt közösség tapasztalataira alapozva tudják megkeresni és fontossági sorrendben javítani a hibákat. Egyre több biztonsági résre derül fény a szoftverekben.

Az általánosan elterjedt sebezhetőségeket listázó CVE Programban például 2021-ben 20 161 sérülékenységet tettek közzé. 2022-re pedig már az ötödével nőtt ez a szám (25 059-re), míg 2023-ban csak az első félévben már 14 149 hibát azonosítottak. Ezeket a gyenge pontokat használhatják ki a kiberbűnözők arra, hogy betörjenek a cégek rendszereibe, ezért a réseket minél hamarabb be kell foltozni.

Nem késhet a hibajavítás

A vállalatoknak tehát kiemelt figyelmet kell fordítaniuk az alkalmazásaik biztonságára, a potenciális sebezhetőségek azonosítására és javítására. Ugyanakkor ez nem lassíthatja le a szoftverfejlesztési ciklusaikat sem, hiszen a gyorsan változó felhasználói igények miatt rövid idő alatt kell elkészíteni és kiadni a szoftverek új funkcióit és frissítéseit.

A vállalatoknak ezért egyszerre kell szem előtt tartaniuk a hatékonyságot és a biztonságot az alkalmazásfejlesztés során. Ehhez érdemes a biztonsági tesztelést és javításokat is integrálni a fejlesztési folyamatokba, lehetőség szerint minél korábbi fázisokban. Minél később derül fény ugyanis a biztonsági résekre a fejlesztési ciklusban, annál nagyobb csúszást okoz a szoftver kiadásában a foltozás.

Szintén segíti a fejlesztési folyamatok hatékonyságának növelését, ha sikerül felgyorsítani a hibák keresését és javítását. Előbbi a legtöbb esetben már rövid idő alatt lefuttatható, mivel a statikus alkalmazásbiztonsági tesztelési (SAST – Static Application Security Testing) eszközök képesek bármely alkalmazás forráskódját átvizsgálni és azonosítani a kódban a sebezhetőségeket. A vizsgálatok eredményeit azonban értelmezni is kell, majd a javítások megkezdése előtt érdemes rangsorolni is a hibákat, hogy a kritikus fontosságúak kerüljenek sorra legelőször.

Profi és pontos toplista

Ilyen esetben hasznos, ha olyan fejlett megoldást használnak, mint a Fortify család. Ez a portfólió ugyanis olyan megoldást is tartalmaz, amely fejlett technológiára támaszkodva segít prioritás szerint rendezni a hibákat. Az eszköz azonosítja azokat a kritikus sérülékenységeket, amelyeket valóban ki tudnának használni a rosszindulatú támadók, és ezeket helyezi a lista elejére.

Az eljárás olyan osztályozási rendszert alkalmaz, amelyet gépi tanulással korábbi tesztek szakértők által auditált és anonimizált metaadataira alapozva alakítottak ki. Tehát semmilyen személyes adatot nem használ fel attól a szervezettől, ahol az elemzést lefuttatták, ám minden olyan hasznos adatot tartalmaz az egyes sérülékenységről, amely a szakmai döntéshez szükséges.

A sebezhetőség kategóriájától és súlyosságától kezdve a kód és a szoftver sebezhetőségéhez kapcsolódó adatokig, beleértve a programozási nyelvet, a fájlkiterjesztést és egyéb információkat. A módszer lehetővé teszi, hogy a teljes Fortify közösség szakmai tapasztalatát kihasználják a javításra váró hibák rangsorolásához anélkül, hogy érzékeny információk sérülnének.

Az eszköz a Micro Focus mérései alapján akár 98 százalékos pontossággal képes azonosítani a problémákat, miközben a fals negatívok aránya kevesebb, mint 1 százalék, a kézi ellenőrzésre fordított idő pedig akár 58 százalékkal is csökkenhet. A Fortify termékekhez ráadásul magyar nyelvű támogatás is elérhető, akár személyes jelenléttel, konzultációval és tanácsadással, így a helyi vállalatok minden felmerülő kérdésükre választ kaphatnak.

| Nyitókép: Adobe Stock