خلاصه گزارش گارتنر در سال 2019 در زمینه تست امنیت اپلیکیشن

خلاصه گزارش گارتنر در سال 2019 در زمینه تست امنیت اپلیکیشن

2019/06/09

خلاصه گزارش گارتنر در سال 2019

در زمینه تست امنیت اپلیکیشن
Magic Quadrant for Application Security Testing (2019)

لاتک–فن آوری لاجورد تکوین–Gartner-AST-Application Security Testing-SAST-Static Application Security Testing-DAST-Dynamic Application Security Testing-IAST-Interactive Application Security Testing-RASP-Runtime Application Self-Protection-Synopsys-MicroFocus-WebInspect-Fortify-IBM-AppScan-Checkmarx-Rapid7-Qualys-Acunetix

ترجمه: حمزه هیودی

مقدمه

مفاهیمی همچون DevSecOps ، طراحی وب اپلیکیشنهای مدرن و نفوذهای خاص، وسعت حوزه تست امنیت اپلیکیشن (AST) را توسعه داده اند. پیشتازان حوزه های امنیت و مدیریت ریسک میبایست در مهلت زمانی بسیار کم، اپلیکیشن های پیچیده تری را تست نمایند که این امر از طریق تسریع تلاش ها در یکپارچگی و اتوماتیک کردن فرایند تست در چرخه حیات نرم افزار محقق می گردد.

فرضیات برنامه ریزی استراتژیک

تا سال 2020 ، ده درصد از آسیب پذیری های شناخته شده کدها توسط محصولات تست ایستای امنیت اپلیکیشن (SAST) به صورت خودکار و از طریق اِعمال کدهای امن پیشنهادی رفع خواهند گردید. این نرخ در حال حاضر کمتر از یک درصد می باشد.

تعریف و توصیف بازار

تعریف گارتنر از بازار تست امنیت اپلیکیشن (AST)، شامل فروشندگان محصولات و سرویس هایی است که برای تحلیل و تست اپلیکیشن ها از منظر آسیب پذیری های امنیتی، طراحی شده اند.

گارتنر سه حوزه اصلی را در خصوص AST شناسایی نموده است:

• تکنولوژی تست ایستای امنیت اپلیکیشن (SAST) : تحلیل منبع کد اپلیکیشن، کدهای باینری یا bytecode را به منظور یافتن آسیب پذیری های امنیتی در فازهای برنامه نویسی و یا تست در چرخه حیات نرم افزار، صورت می دهد.
• تکنولوژی تست پویای امنیت اپلیکیشن (DAST) : تحلیل اپلیکیشن ها را به صورت پویا و حین اجرا در فازهای تست یا عملیاتی، صورت می دهد. این محصولات، شبیه سازی حملات بر اپلیکیشن ها (عموماً اپلیکیشن ها و سرویس های تحت وب)، تحلیل واکنش اپلیکیشن به حملات و نهایتاً تعیین اینکه آیا آسیب پذیر هستند را فراهم می آورند.
• تکنولوژی تست تعاملی امنیت اپلیکیشن (IAST) : عناصر SAST و DAST را ترکیب و به طور همزمان در دسترس قرار داده است. این تکنولوژی عموماً شامل یک agent درون محیط runtime (برای مثال در JVM یا .NET CLR) می باشد که عملیات یا حملات را مشاهده نموده و آسیب پذیری ها را شناسایی می نماید.

راهکارهای AST میتوانند به صورت ابزار یا سرویس اشتراک ارائه شوند که بسیاری از وندورها، براساس نیازهای سازمان ها اغلب هر دوی آنها را فراهم آورده اند.

گزارش سال 2019 گارتنر، بر روی راهکارهای پیشنهادی فروشندگان در حوزه های SAST ، DAST و IAST بوده و در کنار آن بلوغ و ویژگی های آنها (چه به صورت ابزار یا سرویس) را بررسی نموده است. گارتنر مشاهده کرده است که یکی از اصلی ترین نیازها در تکامل بازار تست امنیت اپلیکیشن، پشتیبانی از ابتکارات در زمینه DevOps می باشد. در یک محیط DevOps ای، مشتریان به دنبال پیشنهادات و راهکارهایی هستند که از سطح بالایی از خودکارسازی و همبسته سازیِ یافته ها و یکپارچه سازی با ابزارهای DevOps ، برخوردار باشد. عموماً، مشتریان بدنبال راهکارهایی هستند که تمرکز آنها بر روی فراهم شدن اطمینان خاطر بالا، سطح بالایی از یافته ها و سرعت عمل انجام کار باشد. خریداران انتظار دارند که راهکارهای پیشنهادی، تست های مورد نظر را توسط برنامه نویس در گام های اولیه توسعه نرم افزار (به عنوان بخش جدایی ناپذیر از فرایند ساختن و انتشار) صورت دهند تا اینکه متخصصین امنیت آنها را بیابند. لازم به ذکر است که ارزیابی بازار صورت گرفته، بر روی نیازهای خریداران تمرکز دارد چرا که ملاک ارزیابی ایشان، پشتیبانی سریع و دقیق تست از توانایی و امکان یکپارچگی در کل چرخه حیات توسعه نرم افزار (SDLC) بوده است.

ابتکارات، همکاری ها و پیشنهادات ارائه شدهی وندورهای تست امنیت اپلیکیشن در حوزه های RASP (تکنولوژی که به اپلیکیشن ها اجازه می دهد که از خودشان در برابر exploit شدن آسیب پذیری ها در حین اجرا، محافظت نمایند) و SCA (تکنولوژی مورد استفاده در شناسایی آسیب پذیری های امنیتی در اپلیکیشن ها، کامپوننت های منبع باز و Third Party) به طور ویژه ای در این ارزیابی مورد سنجش قرار گرفته اند. این راهکارها به سازمان ها کمک می کنند تا امنیت را در تمامی SDLC برقرار نموده و فرایندهای شناسایی و کاهش ریسک را خودکار سازند.

پلتفرم های امنیت اپلیکیشن های مهم تجاری که تست امنیت اپلیکیشن را با پلتفرم های ERP ترکیب می کنند، در این گزارش مورد ارزیابی قرار نگرفته اند. تست اپلیکیشن های موبایل نیز جزو تمرکزهای اصلی این گزارش نیست. اگر چه گارتنر مشاهده کرده است که سازمان ها امروزه از تکنیکهای AST اشاره شده در این تحقیق برای تحلیل موردی اپلیکیشن های موبایلی بهره گرفته اند، اما جزو نیازمندی های اساسی مشتریان نبوده است. مشتریان اغلب این توانمندی ها را از وندورهایی که متخصص و متمرکز بر روی موبایل هستند و یا حتی وندورهای ارزیابی شده در همین گزارش، تهیه نموده اند.

سه حوزه تست امنیت اپلیکیشن به همراه دیگر تکنیک های تحلیل رفتاری، اغلب برای تحلیل منبع کد، bytecode یا binary code مورد استفاده قرار می گیرند. همچنین این راهکارها، رفتار اپلیکیشن های موبایل را برای یافتن آسیب پذیری های امنیتی در فازهای کدنویسی، طراحی، بسته سازی، پیاده سازی و حین اجرا، تحلیل می کنند.

تست امنیت اپلیکیشن

مرکز اصلی کمپانی جهانی Synopsys ، در مَونتِن ویو کالیفرنیا (آمریکا) واقع بوده و عمده راهکارهای آن در حوزه نرم افزاری و نیمه هادی است. در سالیان اخیر، این کمپانی در حال اجرای استراتژی توسعه پورتفولیوی خود در حوزه امنیت اپلیکیشن بوده و محصولات Cigital (App Sec Services) ، Quotium’s Seeker IAST ، Codenomicon (SCA) ، Protecode (SCA) ، Coverity (SAST) و Black Duck (SCA) را خریداری نموده است. ادغام ها و خریدهای صورت گرفته، پوشش مناسبی از امن سازی بازار SDLC را فراهم آورده و تلاش های آتی معطوف به یکپارچه سازی و تکمیل یک راهکار جامع می باشد. در یک سال گذشته، این کمپانی پلتفرم جدیدی را بنام Polaris عرضه کرده است که قرار است یک کنسول مدیریت مرکزی برای تمامی محصولات تست امنیت اپلیکیشن آنها باشد. راهکار SAST ، اولین موردی بود که کاملاً در Polaris یکپارچه گردید و کمپانی در نظر دارد تا انتهای 2019، دیگر محصولات را نیز در پلتفرم واحد خود یکپارچه نماید.

Synopsys ، یک IDE plug-in سبک و جدید به همراه Code Sight برای اجرای تمامی تحلیل های SAST فراهم آورده است که همزمان با اینکه توسعه دهنده در حال کدنویسی باشد، اسکن کد نیز به صورت مستمر و در پس زمینه اجرا شود. این قابلیت در حال حاضر بر روی IntelliJ IDE بوده و قرار است تا فوریه 2019 ، بر روی دیگر IDE ها از جمله Eclipse و Visual Studio نیز ارائه شود.

محصولات Synopsys برای سازمان هایی که بدنبال یک راهکار جامع AST با قابلیت ارزیابی عمیق، پیاده سازی و لایسنس دهی منعطف هستند، پیشنهاد می شود.

نقاط قوت

• پلتفرم Synopsys Polaris Software Integrity ، یک راهکار نوین جهت پیگیری آسیب پذیری ها و دیگر معیارهای امنیت در کلیه فازهای SDLC می باشد. این پلتفرم با تمام ابزارها و build system ها قابل تعامل می باشد.
• محصول Synopsys Seeker همچنان به عنوان یکی از راهکارهای کامل IAST با قابلیت یکپارچگی در چرخه حیات توسعه نرم افزار، شناخته می شود. این محصول دارای یک agent-only IAST است که نیاز به inducer دارد. این محصول از مدل تست پسیو که تنها تعداد معدودی از رقبا آن را پشتیبانی میکنند، برخوردار است.
• پلاگین Code Sight ، ابزار مناسبی برای پروژه های DevOps می باشد چرا که به منظور استفاده از قابلیت SAST spell checker در مراحل آغازین توسعه نرم افزار، یکپارچگی قوی با IDE های مختلف فراهم شده است. همچنین این پلاگین از ماشین تحلیلی مشابه Coverity بهره گرفته است.
• کمپانی Synopsys ، مجموعه کاملی از راهکارهای تست امنیت اپلیکیشن را ارائه می دهد که برای گستره وسیعی از موارد کاربردی مورد استفاده قرار می گیرد که یکی از آنها قابلیت Fuzzing است که از طریق محصول Defensics ارائه می شود. این امکان عمدتاً نادیده انگاشته شده اما میتواند در تکمیل و توانمندی راهکارهای تست امنیت اپلیکیشن نقش مهمی ایفا نماید.
• کمپانی Synopsys ، جایگاه شناخته شده و مناسبی در تست امنیت اپلیکیشن های حوزه اینترنت اشیا (IoT) دارد چرا که گستره وسیعی از پروتکل ها همچون XMAPP ، MQTT ، CoAP و AMQP را از طریق محصول Defensics پشتیبانی می نماید.

نقاط ضعف

• محصول Synopsys Coverity از زبان های برنامه نویسی کمتری (به نسبت دیگر رقبای حوزه SAST) پشتیبانی می کند که از جمله آنها میتوان به Go و Kotlin اشاره نمود. تحقیق گارتنر از بازخوردهای جمع آوری شده از مشتریان Synopsys نشان می دهد که قابلیت های مشخص کردن آسیب پذیری ها و پیشنهادات ارائه شده جهت رفع آنها (به نسبت دیگر رقبای حوزه SAST) محدود می باشد.
• در حال حاضر، تمرکز کمپانی بر روی بهینه سازی یکپارچگی و تقویت آن در جهت ارائه یک پلتفرم واحد به مشتریان می باشد. اگر چه پیشرفت های بسیاری صورت گرفته اما همچنان کار زیادی باقی مانده است؛ برای مثال افزودن Seeker و Black Duck به پلتفرم Polaris.
• مشتریان در سطح کسب و کار کوچک و متوسط به گارتنر ابراز داشته اند که علیرغم تمایل به راهکارهای Synopsys ، قیمت خارج از محدوده بودجه آنها می باشد؛ علی الخصوص برای برنامه های نوپا که این رده مشتریان را به سمت دیگر راهکارهای کم هزینه تر سوق می دهد.
• کمپانی Synopsys دارای محصول On-premise در حوزه DAST نبوده و تنها به صورت سرویس به مشتریان عرضه می دارد. سرویس های DAST ارائه شده نیز به آن صورت مزیت رقابتی با دیگر رقبا ندارند.

Micro Focus

مرکز اصلی کمپانی MicroFocus ، در انگلیس واقع بوده و عمده محصولات و سرویس های آن در حوزه تست امنیت اپلیکیشن، تحت برند خوشنام و معتبر Fortify می باشد. این کمپانی در راستای برنامه فروش جهانی خود، از حضور قوی در بازارهای شمال آمریکا، اروپا و آسیا (APAC) برخوردار می باشد. راهکار Fortify شامل محصولات ذیل می باشد:

– Static Code Analyzer (SAST)
– WebInspect (DAST and IAST)
– Software Security Center (Console)
– Application Defender (monitoring and RASP)

Fortify ، راهکارهای تست امنیت اپلیکیشن خود را به دو صورت On-premise و Cloud (تحت نام Fortify on Demand) به مشتریان عرضه می دارد. راهکار تست امنیت اپلیکیشن های موبایلی، تنها از طریق FOD (سرویس ابری) ارائه می شود. محصولات Fortify SAST ، از قابلیت شناسایی آسیب پذیری ها به صورت بلادرنگ و in-line از طریق یک spell checker (بنام Security Assistant) در Eclipse و Visual Studio ، برخوردار هستند. ابزار Security Assistant ، کدهای آسیب پذیر را همزمان با کدنویسیِ توسعه دهنده نرم افزار، یافته و پیشنهاد اصلاح می دهد. در سال گذشته، Fortify با پشتیبانی از Visual Studio ، همکاری خود را در حوزه تحلیل و تست منبع کد با محصولات Black Duck ، Sonatype و Synk گسترش داده و زمان انجام کار در FoD DAST را بهبود زیادی بخشید.

راهکارهای تست امنیت اپلیکیشن ارائه شده توسط MicroFocus Fortify به سازمان هایی که بدنبال یک مجموعه جامع و کامل از راهکارهای AST (در قالب محصول، سرویس و یا ترکیبی از هر دو) با قابلیت های بالای یکپارچگی و گزارش دهی هستند، توصیه می شود.

نقاط قوت

• باتوجه به برخورداری Fortify از یکپارچگی با IDE های مشهور و ابزارهای CI/continuous delivery (CD) ، یکی از کاملترین راهکارهای یکپارچه با SDLC می باشد.
• Fortify به ارائه قابلیت ها و امکانات جدید همچون تحلیل بلادرنگ در Eclipse و Visual Studio (با استفاده از Security Assistant) به منظور پشتیبانی از DevOps ، ادامه داده است. مشتریان محصولات On-premise و FOD ، میتوانند از ابزار Audit Assistant که مبتنی بر یادگیری ماشین است جهت حذف هشدارهای کاذب (در یافته های SAST) و از ابزار SmartFix جهت دریافت پیشنهاد/محل رفع ایرادات، بهره مند شوند.
• Fortify دارای مجموعه جامعی از قابلیت های Enterprise-class و یکپارچگی با دیگر وندورهای تحلیل و تست منبع کد (SCA) می باشد. برای مثال، مشتریان FoD SAST میتوانند از ارزیابی های Sonatype ، بدون هزینه اضافی استفاده نمایند.
• کمپانی MicroFocus ، افزایش سرمایه گذاری در تحقیق و توسعه را به Fortify متعهد شده است و این منجر به بهبود و تسریع انتشار بروزرسانی ها، قابلیت های نوین، ارتقای زیرساخت، پویایی و یکپارچگی بیشتر می گردد.
• بازخورد مشتریان از بلوغ و کسب تجربه کار با ابزارهای AST و بهینه سازی محصولات نشان داده است که راهکارهای on-premise ، نتایج دقیق تر و کاملتری را در مقیاس نیازهای سازمان های بزرگ و use case های آن سطح از مشتریان برآورده نموده است.

نقاط ضعف

• علیرغم افزایش سرمایه گزاری بر روی Fortify توسط کمپانی Micro Focus ، تعاملات مشتریان همچنان نشان دهنده برخی نگرانی ها در خصوص آینده این برند، پس از ادغام های گذشته می باشد.
• پیچیدگی در بهینه سازی تنظیمات محصول برای کاهش تعداد هشدارهای کاذب، از جمله مشکلاتی است که مشتریانی که تجربه کار کمتری با ابزارهای SAST دارند، به سمت دیگر راهکارها سوق می یابند.
• برخی مشتریان دارنده محصولات on-premise ، گزارش کرده اند که برای برپایی راهکار کاملاً یکپارچه و پایدار، اغلب نیاز به تنظیمات بسیاری بوده که این امر منحنی آموزش را طولانی کرده و کارمند مجزا برای عملیاتی سازی و نگهداشت آن مورد نیاز شده است.
• راهکار Fortify IAST به صورت یک محصول مجزا عرضه نشده و تنها در قالب افزونه Micro Focus DAST ، ارائه می شود. همچنین لازم به ذکر است که js هنوز پشتیبانی نمی شود.

IBM

کمپانی آمریکایی IBM ، یک از وندورهای جهانی در حوزه محصولات و سرویس های فناوری اطلاعات می باشد. در دسامبر 2018 ، کمپانی HCL Technologies اعلام کرد که چندین محصول IBM را خریداری نموده است که از جمله آنها میتوان به مجموعه محصولات تست امنیت اپلیکیشن IBM تحت نام AppScan اشاره نمود. خرید صورت گرفته، در سال 2019 تکمیل می باید. لازم به ذکر است که در دو سال گذشته نیز، کمپانی HCL مسئولیت توسعه و پشتیبانی محصولات IBM را بر عهده داشته و پشتیبانی مشتریان آنها را به طور مستقیم فراهم آورده است. پورتفولیوی AppScan شامل محصولات AppScan Source (SAST) ، AppScan Standard (DAST) و AppScan Enterprise (پلتفرم سازمانی تست امنیت اپلیکیشن) می باشد. کلیه محصولات را میتوان به صورت مجزا و یا ترکیبی به شکلی که نتایج و تنظیمات اسکن را میان آنها به اشتراک گذارد، قابل استفاده هستند. این محصولات به صورت SaaS از طریق IBM Security Application Security on Cloud (ASoC) نیز به مشتریان عرضه می شوند. تکنولوژی IBM IAST (تحت نام GlassBox) به عنوان بخشی از راهکار DAST این کمپانی ارائه می شود.

در یکسال گذشته، IBM اقدام به افزودن action-based crawling (ABC) به محصول DAST نموده که برای توانمندسازی مرورگر در اجرای کامپوننت ها و تحلیل بهتر در اپلیکیشن تست شده دارد. همچنین با افزودن AppScan Issue Management Gateway ، همسان سازی ASoC با دیگر ابزارهای مدیریت رخداد همچون نرم افزار جیرا، فراهم شده است. از جمله دیگر بهبود های صورت گرفته میتوان به قابلیت های خودکارسازی مبتنی بر API در اسکن پویا از طریق AppScan Enterprise ، توسعه پلاگین های IDE و CI ، افزودن سیاست ها و قواعد از پیش تعریف شده برای تست انطباق با قواعد و الزامات امنیتی (Compliance)، اشاره نمود. استفاده از توانمندی های Swagger برای خودکارسازی اسکن پویای REST API ها و افزودن پشتیبانی SAST از زبان های برنامه نویسی Python و Angular ، از جمله دیگر امکانات راهکارهای پیشنهادی این کمپانی هستند.

محصولات AppScan ، برای مشتریانی که تمایل به استفاده از راهکارهای وندوری واحد در تست امنیت اپلیکیشن ها داشته و از طرفی تمرکز بر مدیریت مبتنی بر ریسک و قابلیت های Enterprise-class دارند، پیشنهاد می شود.

نقاط قوت

• داشبوردها و گزارش دهی محصولات AppScan، از تکنولوژی IBM Security Framework and Risk Assessment بهره برده و کاربران میتوانند از آن برای اولویت بندی ریسک های آسیب پذیری های اپلیکیشن و ترکیب آن با تأثیرات تجاری مشکلات شناسایی شده بر روی اپلیکیشن، استفاده کنند.
• محصول DAST ، از شهرت مناسبی به عنوان یک ابزار با قابلیت سفارشی سازی (علی الخصوص برای ارزیابی دستی) برخوردار است. تست افزایشی، به متخصصین این حوزه امکان اسکن سریعتر و تکنولوژی کنش محور، اجازه کار با صفحات ورود پیچیده را به صورت خودکار، فراهم کرده است.
• AppScan دارای کنسول متمرکز مدیریتی است که کاربران را قادر می سازد تا یافته ها را از دیگر ابزارهای 3rd party به آن وارد نموده و از برخی قابلیت های همبسته سازی آسیب پذیری اپلیکیشن ها (Application Vulnerability Correlation)، بهره مند شوند. این امر، همکاری میان متخصصین امنیت و توسعه نرم افزار را ارتقا داده و امکان مشاهده یافته ها را برای مدیران و ممیزان فراهم نموده است.
• تمرکز بهبودهای صورت گرفته توسط تیم IBM ، بر روی تطبیق بهتر محصولات با نیازهای DevDescOps بوده است. از جمله این موارد میتوان به افزایش خودکارسازی، یکپارچگی SDLC و پشتیبانی از زبان های برنامه نویسی مدرن، اشاره نمود. بررسی های گارتنر از بازخورد مشتریان، حاکی از رضایتمندی از قابلیت های Intelligent Code Analytics (ICA) و Intelligent Finding Analytics (IFA) در زمینه یادگیری ماشین و فراهم آوردن خودکارسازی شناسایی قالب ها و کاهش هشدارهای کاذب، بوده است.
• راهکارهای IBM به کاربران اجازه می دهد که اپلیکیشن های موبایلی را در سطح مناسبی از جزئیات، تست نمایند.

نقاط ضعف

• با در نظر گرفتن اینکه بخش اعظمی از مشتریان AppScan ، از دسته مشتریان فعلی یا قدیمی IBM هستند، لذا وضعیت معلق خریدها منجر به بروز عدم قطعیت و نگرانی مشتریان در خصوص مسیر آتی پورتفولیوی این حوزه شده است. با اینحال بخشی از دغدغه ها با درگیر شدن مستقیم شرکت HCL Technologies در محصولات این حوزه، کمتر شده است.
• بازخوردهای جمع آوری شده توسط گارتنر نشان می دهد که در لیست کوتاه مشتری، راهکارهای IBM (علی الخصوص در حوزه اسکن ایستا) میان دیگر رقبا جایی ندارد. همچنین مشتریان اغلب گزارش داده اند که محصول SAST ، تعداد زیادی هشدار کاذب تولید میکند اما با افزودن IFA (Intelligent Finding Analytics)، این تعداد کاهش یافته است.
• حضور IBM AppScan در اروپا (در مقایسه با آمریکای شمالی) بسیار کمرنگ بوده است.
• تکنولوژی Glass Box IAST به صورت محصول مجزا (stand-alone) عرضه نشده و از تست پسیو نیز پشتیبانی نمی کند.
• تکنولوژی IAST برای موبایل، ICA (IBM Code Analytics) برای شناسایی رفتار API ها و همچنین محصول SCA به صورت on-premise عرضه نشده و تنها به صورت ابری ASoC (Application Security on Cloud) در اختیار مشتریان قرار گرفته اند.

Rapid7

مرکز اصلی کمپانی Rapid7 ، در بوستون ماسوچوست آمریکا واقع بوده و عمده فعالیت آن خدمات فناوری اطلاعات، امنیت و نرم افزار تحلیلی می باشد. در حوزه تست امنیت اپلیکیشن، راهکار DAST را هم به صورت محصول و هم سرویس عرضه می نماید که شامل محصولات AppSpider Pro (اسکنر اپلیکیشن وب) و AppSpider Enterprise (ابزار سازمانی و On-premise) و نهایتاً سرویس ابری InsightAppSec ، می باشد. همچنین سرویس Managed AppSec ، همان سرویس DAST است که کاملاً به صورت برون سپاری شده همراه با قابلیت ارزیابی آسیب پذیری، عرضه می شود.

در سال گذشته، امکان اسکن با استفاده از Swagger و فایلهای WSDL و همینطور اسکن افزایشی و اسکن اعتبارسنجی، در اختیار مشتریان قرار گرفت که به کاربران اجازه می داد که تأیید کنند که رفع آسیب پذیری، مؤثر بوده است. API عمومی ارائه شده توسط InsightAppSec ، توانایی استفاده از ابزار را بدون رد شدن از رابط کاربری فراهم آورده است. کمپانی Rapid7 ، سیستمی در InsightAppSec ارائه نموده که مدیریت، اشتراک گذاری و رمزنگاریِ ضبط سِشِن احرازهویت را برای مشتریان به ارمغان آورده است. همچنین فعالیت اسکن های در جریان و خاتمه یافته، با جزئیات کامل در این سیستم قابل مشاهده اند. در اکتبر 2018، این کمپانی اقدام به خرید محصول RASP از شرکت tCell نمود.

کمپانی Rapid7 علاوه بر محصول DAST ، دارای محصولات دیگری همچون InsightAppSec (سرویس ابری DAST)، InsightVM (مدیریت آسیب پذیری)، InsightDR (مدیریت رویدادها و اطلاعات امنیتی)، InsightConnect (ابزار خودکارسازی و پاسخدهی امنیتی) و InsightOps (نگهداری و تحلیل لاگ)، می باشد.

نقاط قوت

• Rapid7 ، شهرت زیادی بدلیل محصول DAST خود (علی الخصوص بخاطر پشتیبانی از امکان ارزیابی عمیق، سفارشی و دستی ابزار)، دارد.
• تکنولوژی Universal Translator ، امکان ارزیابی درخواست ها و شناسایی فرمت ها و سپس parse و نرمالسازی داده ها را در یک قالب استاندارد رایج، فراهم کرده تا بتوان حملات مشابه را به روش های مختلف صورت داد. همچنین برای فرمت هایی که قابل crawl نیستند (همچون وب سرویس های JSON و REST)، میتوان ترافیک ضبط شده کاربر را به نرم افزار وارد کرده و به تست و تحلیل آن پرداخت. امکان اسکن اعتبارسنجی به منظور تأیید اصلاح آسیب پذیری، منجر به مؤثرتر کردن و تسریع روند رفع آسیب پذیری ها شده است.
• قابلیت های یکپارچگی در SDLC نیز از طریق پلاگین ها و ابزارهای پیگیری باگ، بهبود یافته و از طرفی امکان ارتباط با تجهیزات امنیتی همچون WAF و IPS ، مهیا شده است.
• کاربران Rapid7 ، نقطه نظرات مثبتی در خصوص کاربری آسان و قابلیت های گزارشگیری، داشته اند.

نقاط ضعف

• کمپانی Rapid7 در حوزه تست امنیت اپلیکیشن، محصولی بجز DAST ارائه نداده و دارای محصولی در زمینه SAST و IAST نیست. قابلیت های تست موبایل آن نیز محدود به تحلیل ترافیک میان اپلیکیشن موبایلی و سوریس back-end می باشد.
• Rapid7 در محصول DAST خود، از اسکن توزیعی و فازینگ پروتکل به صورت پویا پشتیبانی نمی کند.
• علیرغم افزایش نیازهای جهانی به استفاده از سرویس های ابری، اکثر مشتریان Rapid7 از نسخه on-premise محصول استفاده نموده و این کمپانی بسیار در تلاش است تا در لیست کوتاه مشتریانی که بدنبال سرویس هستند، قرار بماند.
• Rapid7 ، محصول SCA مجزا نداشته و عملاً در راهکارهای تست خود نیز آن را پشتیبانی نمی کند.

راهکارهای قابل ارائه توسط شرکت فناوری لاجورد تکوین (لاتک)
در زمینه تست امنیت اپلیکیشن

Synopsys – MicroFocus – Fortify – WebInspect – IBM – AppScan – Rapid7 – Acunetix

راهکارهای قابل ارائه توسط شرکت فناوری لاجورد تکوین (لاتک)
در زمینه تست امنیت اپلیکیشن

درباره ما

پشتیبانی

دریافت فایل

لینک های مرتبط

راهکارهای قابل ارائه توسط شرکت فناوری لاجورد تکوین (لاتک) در زمینه تست امنیت اپلیکیشن

درباره ما

پشتیبانی

دریافت فایل

لینک های مرتبط

راهکارهای قابل ارائه توسط شرکت فناوری لاجورد تکوین (لاتک)
در زمینه تست امنیت اپلیکیشن