I stedet for kun at lave sårbarhedstest og andre sikkerhedstiltag, efter at koden er skrevet, så skal sårbarhedsanalyse af koden allerede foregå, mens udviklingen er igang.
Det mener IBM, der nu integrerer kodescannings-værktøjer i deres Rational-udviklingsværktøjer for at bringe sikkerhedstest indenfor rækkevidde af udviklerne.
"Som en del af industrien er det vores ansvar at sikre, at sikkerhed er indbygget i koden; ikke noget der hæftes på efter koden er skrevet," siger Scott Hebner, vice president, marketing, IBM Rational Software.
Der er tale om de to værktøjer
Rational AppScan Developer Edition
og
Rational AppScan Build Edition, som skal gøre sikkerhed og eliminering af sårbarheder en naturlig del af softwareudvikling.
Udvikler-versionen, Developer Edition, tilbyder udviklerne en række værktøjer til at identificere sårbarheder i koden, mens Build-versionen tester for sikkerhedsproblemer i forbindelse med de natlige eller ugentlige builds af et system.
Patentansøgning på strenganalyse
IBM har blandt andet tilføjet en patentansøgt streng-analyse til scanningsværktøjerne, som skal være med til at identificere sårbarheder i koden.
Ifølge IBM er den patentansøgte streng-analyse med til at minimere antallet af falske positive - sikker kode, der identificeres som sårbar - hvilket kan være et problem, når automatiserede analyseværktøjer anvendes.
På IBM's Developerworks forklares stringanalysen således:
"Strenganalysen holder styr på ændringer af streng-værdier gennem hele applikationen, den forstår kilden til ændringerne og de manipuleringer af streng-værdier der foregår samt de mulige værdier som strengene kan antage. Det betyder, at String Analysis eksempelvis kan verificere om data bliver ordentligt renset inden de bliver brugt i en sikkerhedsfølsom kontekst."
SQL Injection med til at skabe store forventninger til kodesikring
De meget omtalte SQL injections skyldes eksempelvis, at tekststrenge ikke bliver renset for brugerindtastede SQL-statements, som manipulerer med en bagvedliggende database.
Her har Microsoft eksempelvis tidligere stillet værktøjer, der analyserer for SQL injection-sårbarheder, til rådighed.
IBM forventer, at markedet for kodesikring vil vokse markant i de kommende år.
"Kun omkring 10 procent af virksomheder anvender forebyggende sikkerhedstiltag for deres applikationer. Vi forudsiger, at det tal vil nå op på 80 procent i 2010," siger Scott Hebner, vice president, marketing, IBM Rational Software.
IBM er ikke alene på markedet for værktøjer, der kigger kildekoden efter i sømmene for sårbarheder.
Med de nye produkter kommer IBM i konkurrence med virksomheder som Fortify og Ounce Labs.
IBM har videreudviklet på Rational AppScan produktlinien som IBM fik sidste år, da it-giganten købte leverandøren af sikkerhedssoftware Watchfire.
En gratis prøveversion af AppScan kan hentes her
For god ordens skyld skal understreges, at sårbarhedsanalyse allerede bør foretages på designstadiet for et system. Her bør det overordnede design gennemgås for sårbarheder, så mulige svage punkter i systemet identificeres så tidligt som muligt.
