خلاصه گزارش گارتنر در سال 2020
در زمینه تست امنیت اپلیکیشن
Magic Quadrant for Application Security Testing (2020)
لاتک–فن آوری لاجورد تکوین–Gartner-AST-Application Security Testing-SAST-Static Application Security Testing-DAST-Dynamic Application Security Testing-IAST-Interactive Application Security Testing-RASP-Runtime Application Self-Protection-Synopsys-MicroFocus-WebInspect-Fortify-Checkmarx-Veracode-WhiteHat Security-IBM-HCL Software-AppScan-Contrast Security-Rapid7-Qualys-Acunetix-Onapsis-Gitlab-CAST
ترجمه: حمزه هیودی
مقدمه
طراحی برنامه های مدرن و استمرار در استفاده از DevSecOps ، در حال گسترش نیازمندی ها در حوزه تست امنیت اپلیکیشن می باشد. بنابراین نیاز است علاوه بر رسیدن به مهلت ساخت برنامه ها، رهبران حوزه مدیریت ریسک و امنیت قادر به تست برنامه های پیچیده امروزی نیز باشند. همچنین این امر میبایست به صورت یکپارچه، خودکار و به صورت مستمر در کل فرایند چرخه حسات توسعه نرم افزار، صورت پذیرد.
فرضیات برنامه ریزی استراتژیک
• تا سال 2025 ، هفتاد درصد حملات به سوی کانتینرها ناشی از وجود آسیب پذیری های شناخته شده و پیکربندی غلطی خواهند بود که میتوانستند در مراحل اولیه رفع گردند.
• تا سال 2025 ، سازمان ها رفع آسیب پذیری ها در کد اپلیکیشن های خود را به میزان 30% با بهره مندی از ابزارهای SAST ، سرعت بخشیده که در حال حاضر این معیار کمتر از یک درصد می باشد. لذا با استفاده از این ابزارها و پیشنهادات رفع خودکار کدهایِ آسیب پذیر، زمان لازم برای تصحیح باگ ها تا 50% کاهش خواهد یافت.
• تا سال 2024 ، خرید ابزارهای حوزه امنیت اپلیکیشن به نیازمندی غیرقابل چشم پوشی نیمی از سازمان های بزرگ فعلی بدل شده که این میزان در سال 2019 کمتر از 5% بوده است.
تعریف و توصیف بازار
دیدگاه گارتنر از بازار AST ، معطوف به تکنولوژی های تحول آفرین یا رویکردهایی است که نیازهای آینده مشتریان را در نظر گرفته باشند. طبق تعریف گارتنر، بازار تست امنیت اپلیکیشن شامل فروشندگان محصولات و سرویس هایی است که برای تحلیل و تست اپلیکیشن ها از منظر آسیب پذیری های امنیتی، طراحی شده اند.
گارتنر، چهار حوزه اصلی را در خصوص AST شناسایی نموده است:
• Static AST (SAST)
تکنولوژی تست ایستای امنیت اپلیکیشن (SAST): تحلیل منبع کد اپلیکیشن، کدهای باینری یا bytecode را به منظور یافتن آسیب پذیری های امنیتی در فازهای برنامه نویسی و یا تست در چرخه حیات توسعه نرم افزار، صورت می دهد.
• Dynamic AST (DAST)
تکنولوژی تست پویای امنیت اپلیکیشن (DAST) : تحلیل اپلیکیشن ها را به صورت پویا و حین اجرا در فازهای تست یا عملیاتی، صورت می دهد. این محصولات، شبیه سازی حملات بر اپلیکیشن ها (عموماً اپلیکیشن ها و سرویس های تحت وب)، تحلیل واکنش اپلیکیشن به حملات و نهایتاً تعیین اینکه آیا آسیب پذیر هستند را فراهم می آورند.
• Interactive AST (IAST)
تکنولوژی تست تعاملی امنیت اپلیکیشن (IAST) : عناصر SAST و DAST را ترکیب و به طور همزمان در دسترس قرار داده است. این تکنولوژی عموماً شامل یک agent درون محیط runtime (برای مثال در JVM یا .NET CLR) می باشد که عملیات یا حملات را تحت نظر داشته و آسیب پذیری ها را شناسایی می نماید.
• Software composition analysis (SCA)
تکنولوژی تحلیل ترکیب نرم افزار (SCA) : برای شناسایی آسیب پذیری های امنیتی در اجزای کدباز یا 3rd party ، مورد استفاده قرار گرفته و تمرکز آن بر روی آسیب پذیری های شناخته شده و تشخیص عدم رعایت محدودیت لایسنس می باشد.
راهکارهای AST میتوانند به صورت ابزار یا سرویس اشتراک ارائه شوند که بسیاری از وندورها، براساس نیازهای سازمان ها اغلب هر دوی آنها را در قالب محصول یا خدمت فراهم آورده اند.
تمرکز گزارش سال ۲۰20 گارتنر، بر روی راهکارهای پیشنهادی فروشندگان در حوزه های SAST ، DAST ، SCA و IAST بوده و در کنار آن بلوغ و ویژگی های آنها را چه به صورت ابزار یا سرویس، بررسی نموده است. گارتنر مشاهده کرده است که یکی از اصلی ترین نیازها در تکامل بازار تست امنیت اپلیکیشن، پشتیبانی از ابتکارات در زمینه DevOps می باشد. در یک محیط DevOps ای، مشتریان به دنبال پیشنهادات و راهکارهایی هستند که از دقت سطح بالا در خودکارسازی، همبسته سازیِ یافته ها و عدم کندی در فرایند توسعه، برخوردار باشند. خریداران انتظار دارند که راهکارهای پیشنهادی، تست های مورد نظر را توسط برنامه نویس و در گام های اولیه توسعه نرم افزار فراهم آورند؛ نه اینکه متخصصین امنیت آنها را بیابند. بنابراین، ارزیابی بازار به صورت مشخص معطوف به آن دسته از نیازمندی های مشتریان است که از سرعت، دقت و یکپارچگی تست ها در کل چرخه حیات توسعه نرم افزار (SDLC)، برخوردار باشند. همچنین، گارتنر به رشد استفاده از کانتینرها (به عنوان یک تکنولوژی جذاب در توسعه نرم افزار) علی الخصوص ابری، اذعان داشته و آن را یکی از معیارها در مقایسه وندورها به حساب آورده است.
گارتنر، شاهد استفاده روز افزون از راهکارهای تست امنیت اپلیکیشن برای برنامه های موبایلی است. مجموعه ابزارهای AST و تکنیک های تحلیل رفتاری، اغلب برای تحلیل منبع و کد byte/binary ، مورد استفاده قرار می گیرد. همچنین مشاهده رفتار برنامه موبایلی نیز برای شناسایی کد، طراحی، بسته سازی، پیاده سازی و شرایط محیط اجرا بکار گرفته شده تا بتوان آسیب پذیری های امنیتی را در آنها کشف نمود. حال اگر چه این قابلیت ها ارزشمند هستند، اما در حوزه تست امنیت اپلیکیشن ها به عنوان دغدغه اصلی یا معیاری که منجر به تکامل نیاز مشتریان شود، به حساب نمی آیند.
لاتک–فن آوری لاجورد تکوین–Gartner-AST-Application Security Testing-SAST-Static Application Security Testing-DAST-Dynamic Application Security Testing-IAST-Interactive Application Security Testing-RASP-Runtime Application Self-Protection-Synopsys-MicroFocus-WebInspect-Fortify-Checkmarx-Veracode-WhiteHat Security-IBM-HCL Software-AppScan-Contrast Security-Rapid7-Qualys-Acunetix-Onapsis-Gitlab-CAST
تست امنیت اپلیکیشن
لاتک–فن آوری لاجورد تکوین–Gartner-AST-Application Security Testing-SAST-Static Application Security Testing-DAST-Dynamic Application Security Testing-IAST-Interactive Application Security Testing-RASP-Runtime Application Self-Protection-Synopsys-MicroFocus-WebInspect-Fortify-Checkmarx-Veracode-WhiteHat Security-IBM-HCL Software-AppScan-Contrast Security-Rapid7-Qualys-Acunetix-Onapsis-Gitlab-CAST
نقاط ضعف و قوت وندورها
Synopsys
مرکز اصلی کمپانی Synopsys ، در امریکا واقع بوده و عمده راهکارهای آن در حوزه نرم افزاری و نیمه هادی است. اگر چه در 5 سال اخیر، این کمپانی در حال اجرای استراتژی توسعه پورتفولیوی خود در حوزه امنیت اپلیکیشن بوده، اما در سال 2019، تمرکز اصلی آنها معطوف به یکپارچه سازی محصولات مختلف با یکدیگر و تجمیع راهکارهایشان بوده است. شواهد حاکی از آن است که این امر موفقیت آمیز بوده و نگاه بازار به آنها از یک کمپانی تک محصولی به چند محصولی همراه با انتخاب های متعدد بهبود یافته است.
پلتفرم یکپارچه نرم افزاری Polaris ، به ابزار مرکزی مدیریت تمامی محصولات تست امنیت اپلیکیشن های Synopsys ، بدل شده است؛ البته این امر برای راهکار سرویس مدیریت شده DAST آنها هنوز تکمیل نشده و پنل مدیریت مجزایی دارد. ماژول Code Sight ، به عنوان ابزار مدیریت ارتباط و یکپارچگی با محیط های توسعه توانسته است به هدف خود که فراهم کردن تجربه کامل تصحیح کد در IDEها برای توسعه دهندگان است، برسد. اگر چه هدف اصلی سازمان ها، پیاده سازی مدل DevSecOps است، با این وجود راهکار پیشنهادی گاتنر که مبتنی بر به روش نیز هست، استفاده از رویکرد انجام تست توسط توسعه دهنده است. محصولات Synopsys برای سازمان هایی که بدنبال یک راهکار جامع AST با قابلیت ارزیابی عمیق، پیاده سازی و لایسنس دهی منعطف هستند، پیشنهاد می شود.
در ژانویه 2020 ، کمپانی Synopsys نسبت به خرید شرکت Tinfoil Security (ارائه دهنده راهکارهای تست پویای امنیت اپلیکیشن و امنیت API) و افزودن محصولات آنها به پورتفولیوی خود نمود.
نقاط قوت
• مجموعه محصولات Synopsys ، نقطه آغاز آسان و مناسبی برای سازمان هایی هستند که بتازگی رویکرد برقراری امنیت اپلیکیشن توسط توسعه دهنده را در نظر گرفته اند. همچنین برای سازمان های بزرگتری که یکپارچگی و مدیریت مجموعته ای راهکارها را زمانبر می دانند نیز، محصول مناسبی است.
• پلاگین Code Sight ، مناسب تیم های DevOps می باشد. این پلاگین با یکپارچگی با IDE و Polaris ، فرایند رفع آسیب پذیری ها را برای تیم های توسعه دهنده که بلوغ زیادی ندارند، تسهیل ساخته است.
• محصولات Coverity ، Seeker و Black Duck ، از ابزارهای CI/DI (همچون Jenkins و Jira) در فرایندهای ساخت / تست / پیاده سازی، پشتیبانی می کنند.
• محصول Seeker ، یکی از شناخته شده ترین راهکارهای IAST بوده که یکپارچگی مناسبی با چرخه حیات توسعه نرم افزار دارد.
• علاوه بر PCI DSS ، OWASP و CWE ، ابزار Seeker به تازگی از GDPR و Common Attack Pattern Enumeration نیز پشتیبانی نموده و قابلیت دسته بندی/پیگیری آسیب پذیری ها را اضافه کرده است.
نقاط ضعف
• بازخورد مشتریان حاکی از محدودیت در شناسایی آسیب پذیری ها و پیشنهاد رفع آنها، در مقایسه با دیگر رقبای این حوزه می باشد.
• بازخورد مشتریان (کوچک تا متوسط و علی الخصوص شرکت های نوپا) حاکی از آن است که علیرغم تمایل به استفاده از محصولات Synopsys
، قیمت خارج از بودجه این سطح از مشتریان بوده ولذا آنها به دنبال راهکارهای جایگزین خواهند بود. فرایند فروش نیز
پیچیده بوده و مشتریان در پیگیری دارای مشکلاتی بوده اند.
• کمپانی Synopsys ، ابزار DAST را تنها به صورت سرویس مدیریت شده ارائه می دهد. همچنین سرویس مدیریت شده AST آنها نیز از طریق پرتال ابری متفاوتی از Polaris بوده که یکپارچگی را دشوار ساخته است.
• اگر چه Seeker دارای قالب های مختلف گزارش برای regulatory compliance های گوناگون است، اما مسئولیت اطمینان از پوشش کلیه نیازمندی ها و ممیزی منطبق بر compliance ها، همچنان بر عهده کاربر است.
لاتک–فن آوری لاجورد تکوین–Gartner-AST-Application Security Testing-SAST-Static Application Security Testing-DAST-Dynamic Application Security Testing-IAST-Interactive Application Security Testing-RASP-Runtime Application Self-Protection-Synopsys-MicroFocus-WebInspect-Fortify-Checkmarx-Veracode-WhiteHat Security-IBM-HCL Software-AppScan-Contrast Security-Rapid7-Qualys-Acunetix-Onapsis-Gitlab-CAST
Micro Focus
مرکز اصلی کمپانی MicroFocus ، در انگلیس واقع بوده و عمده محصولات و سرویس های آنها در حوزه تست امنیت اپلیکیشن، تحت برند خوشنام و معتبر Fortify می باشد. این کمپانی در راستای برنامه فروش جهانی خود، از حضور قوی در بازارهای شمال آمریکا، EMEA و امریکای مرکزی برخوردار می باشد. راهکار Fortify ،شامل محصولات ذیل می باشد:
• Static Code Analyzer (SAST)
• WebInspect (DAST and IAST)
• Software Security Center (Console)
• Application Defender (monitoring and RASP)
• Fortify Audit Workbench (AWB)
Fortify ، راهکارهای تست امنیت اپلیکیشن خود را به دو صورت On-premise و Cloud (تحت نام Fortify on Demand) به مشتریان عرضه می دارد. مدل ترکیبی به ابزارهای FoD این امکان را می دهد که اسکن کد و نتایج حاصله را در ابزار گزارشگیری Fortify و محیط توسعه، یکپارچه نمایند. در سال گذشته، Fortify نسبت به گسترش پشتیبانی از زبان های برنامه نویسی (+26 app stacks) ادامه داده و یکپارچگی با ابزارهای CI/DI رایج همچون Jenkins و Jira را فراهم آورده است.
MicroFocus طی تفاهم نامه همکاری Sonatype ، ابزار تحلیل ایستای کد آنها را مستقیماً در FoD یکپارچه نموده و در عین حال همچنان از Black Duck و WhiteSource پشتیبانی نیز می کند. راهکارهای تست امنیت اپلیکیشن ارائه شده توسط MicroFocus Fortify به سازمان هایی که بدنبال یک مجموعه جامع و کامل از راهکارهای AST (در قالب محصول، سرویس و یا ترکیبی از هر دو) با قابلیت های بالای یکپارچگی و گزارش دهی هستند، توصیه می شود.
کمپانی MicroFocus ، سرمایه گذاری بالایی را بر روی مدل DevSecOps مبتنی بر توسعه دهنده، صرف نموده است. از جمله نتایج در پیش گیری این رویکرد، میتوان به بهره مندی از DAST در فرایند توسعه (هماهنگی میان اسکن های FoD و کدنویسی در IDE)، تمرکز بر حذف موانع بر سر خودکارسازی جریان کاری (قابلیت macro auto-generation) و بهبود اسکن API ، اشاره نمود. همچنین پشتیبانی از مدل های مختلف پیاده سازی ابری و تسهیل هماهنگی برای استفاده راحتتر از کانتینرها، ارائه شده است. برای فراهم آوردن یک مدل سریع و تمیز DevSecOps ، راهکار Fortify اقدام به افزودن RESTful API ها و رابط کامندی برای تست های ایستا و پویا، نموده است.
نقاط قوت
• Fortify ، راهکاری عالی برای سازمان های بزرگ با پروژه های متنوع و پیچیده است که توسعه دهندگانی با تجربه بالا و روش های مختلف کدنویسی دارند. انعطاف و قدرت بالا در رفع مشکلاتی همچون جایگزینی کد در اپلیکیشن های قدیمی، پشتیبانی از روش های نوین توسعه اپلیکیشن (همانند microservices) و فعالیت های مربوط به ادغام برنامه های عظیم (M&A)، از جمله مزایای آن می باشد.
• اکوسیستم یکپارچه Fortify در کنار برخورداری از RESTful API هایی که از Swagger نیز پشتیبانی کنند، مناسب سازمان های DevSecOps می باشد. در همین راستا، یکپارچگی FoD و SSC با ابزارهایی همچون JIRA و Octane automation ، گام های مهمی در راستای پوشش نیازمندی های این نوع سازمان ها می باشند.
• Fortify به صورت مستقیم بر روی FoD (محیط ابری)، تست اپلیکیشن های موبایلی را فراهم کرده و از طریق SCA و WebInspect (محیط on-premise) نیز از اسکن اپلیکیشن های موبایلی، پشتیبانی می کند.
• اگر چه هیچ وندوری به صورت کامل معضل هشدارهای کاذب را حل نکرده است، اما MicroFocus ، بهبود قابل توجهی در ساده سازی و کاهش آنها داشته است. با بهبود و توسعه قابلیت های Fortify Audit Assistant ، تیم های توسعه دهنده از امکان بررسی نتایج پیش بینی مبتنی بر هوش مصنوعی به صورت دستی یا خودکار بهره مند بود که آنها را در تریاژ داخلی و خودکار آسیب پذیری ها و مشکلات یافته شده، یاری می نماید.
نقاط ضعف
• درحالیکه Fortify ، شروع به نمایش نتایج موفقی از سرمایه گذاری MicroFocus بر روی این راهکار کرده است؛ اما آگاهی بازار نسبت به این موضوع و قابلیت های نوین آنها کم است.
• اگر چه راهکار Fortify با تحلیل contextual-based و ارائه نتایج عمیق و دقیق تست های خود که پوشش دهنده کامل نیازمندی سازمان های بزرگ در این حوزه می باشد، معروف است اما سازمان های کوچکتر با بلوغ کمتر، آن را قدری پیچیده می دانند.
• اگر چه Fortify دارای مدل منعطفی در لایسنس دهی است، اما برخی مشتریان آن را پیچیده می دانند.
• اگر چه سرعت اسکن های خودکار در مقایسه با نسخ قدیم، بسیار سریعتر شده اند و این امر مناسب سازمان های DevSecOps است، اما امکان ممیزی انسانی نتایج اسکن در FoD ، طولانی می باشد. برای رفع این موضوع، Fortify پیشنهاد استفاده از ممیزی مبتنی بر هوش مصنوعی و خودکار را بر روی FoD و on-premise ، داده است.
لاتک–فن آوری لاجورد تکوین–Gartner-AST-Application Security Testing-SAST-Static Application Security Testing-DAST-Dynamic Application Security Testing-IAST-Interactive Application Security Testing-RASP-Runtime Application Self-Protection-Synopsys-MicroFocus-WebInspect-Fortify-Checkmarx-Veracode-WhiteHat Security-IBM-HCL Software-AppScan-Contrast Security-Rapid7-Qualys-Acunetix-Onapsis-Gitlab-CAST
HCL Software
کمپانی HCL Software ، اگرچه نامی جدید در حوزه AST است اما با خرید تکنولوژی ها و محصولات AppScan از شرکت IBM (که از کسب و کار امنیت اپلیکیشن ها خارج شده است)، به عنوان یکی از وندورهای اصلی در گزارش گارتنر به ان پرداخته می شود. پس از خرید محصولات، یک دوره دو ساله جهت ادغام هماهنگ شده است که در این مدت، HCL مسئولیت توسعه و نگهداشت خط تولید محصول را عهده دار بوده و IBM تنها در قیمت فروش و بازاریابی این محصول فعالیت می نماید.
محصول HCL AppScan برای موارد کاربردی گوناگون سازمان های بزرگ که نیازمندی های مختلف و متفاوتی دارند، مناسب می باشد. این کمپانی در هند واقع بوده، اما فروش و پشتیبانی آنها در امریکای شمالی و مرکزی، اروپا و چندین کشور در مناطق آسیای مرکزی، فعال هستند.
اگر چه ساختار کلی سبد محصولات HCL همچنان بلاتغییر مانده است، اما محصولات پیچیده شامل AppScan Source برای SAST ، AppScan Standard و AppScan Enterprise برای دسکتاپ و on-premises DAST ، قدری تغییرات داشته اند. پلتفرم AppScan Enterprise Server ، برای به اشتراک گذاری پالیسی ها، نتایج اسکن و اجرای دستی اسکن DAST یا به صورت خودکار، استفاده می گردد. راهکارهای مبتنی بر ابر نیز همگی تحت برند AppScan on Cloud عرضه می شوند که شامل هر دو حوزه DAST و SAST می باشند. راهکار IAST آنها، تحت نام Glass Box عرضه شده و یکپارچگی کاملی با محصول DAST (چه به صورت ابری و چه on-premise) دارد. تحلیل ترکیب نرم افزار، توسط سرویس ابری AppScan on Cloud ارائه می گردد که در واقع از یک موتور تحلیلی پایه و پایگاه داده WhiteSource ، تشکیل یافته است. تست موبایل نیز از طریق محصولات AppScan Source برای تحلیل ایستا و AppScan on Cloud برای DAST ، IAST و پایش رفتاری، فراهم شده است. تست API ، از طریق ترکیب SAST و DAST ، امکانپذیر شده است. در نتیجه کلیه محصولات در قالب on-premise ، در ابر یا محیط های ترکیبی، عرضه و قابل استفاده هستند.
در سال گذشته، تلاش های بسیاری برای توسعه و نوین سازی خط تولید محصول و ارائه استاندارد قابلیت ها در پلتفرم های مختلف کمپانی، صرف شده است. برای مثال، قابلیت Bring Your Own Language توانسته است یکپارچگی و قوام بهتری را در پشتیبانی زبان ها در گلتفرم های مختلف فراهم آورد. پشتیبانی از Apex ، Ruby و Golang در نسخه ابریِ AppScan ، در حال حاضر بر روی محصول on-premise نیز مهیا شده است.
نقاط قوت
• محصول AppScan Standard ، دارای شهرت مناسبی میان اسکنرهای DAST بوده و از امکانات خوبی در ارزیابی دستی و سفارشی شده، برخوردار است. اسکن افزایشی، اجرای اسکن را سریعتر نموده و تکنولوژی مبتنی بر عملیات ضبط در مرورگر، تست جریان های کاری پیچیده را امکان پذیر ساخته است. این امر، دید بهتری را در اپلیکیشن های تک صفحه ای که تمامی فعالیت ها در قالب استاندارد Get/Post نیستند، فراهم کرده است.
• زمانی که AppScan هنوز در اختیار IBM بود، از جمله محصولاتی بود که از تکنیک های یادگیری ماشین و Intelligent Finding Analytics ، برای یافتن بهترین نقطه برای رفع آسیب پذیری در کد بهره می گرفت. پس از انتقال به HCL ، این قابلیت با اضافه شدن تحلیل های مبتنی بر یادگیری ماشین تولید شده توسط DAST در محیط ابری، منجر به افزایش سرعت و بهبود دقت محصول شده است.
• کمپانی HCL ، دارای امکانات بسیاری در حوزه تست اپلیکیشن های موبایلی است که این توانمندی با استفاده از ابزارهای SAST ، DAST ، SCA و IAST و تحلیل رفتاری آنها فراهم شده است.
• پشتیبانی از محیط های DevOps با امکان یکپارچگی با IDEهای رایج و ابزارهای یکپارچگی/عرضه مستمر، کاملاً در رقابت با محصولات دیگر وندورها می باشد. این امر توسعه دهندگان را قادر به اجرای اسکن در یک سندباکس خصوصی و بررسی نتایج پیش از نهایی سازی کد، ساخته است. دسته بندی آسیب پذیری ها در کنار ارائه اطلاعات و توضیحات تکمیلی همراه با نحوه رفع آنها، از دیگر امکانات محصولات HCL هستند.
نقاط ضعف
• اگر چه انتقال بخش نرم افزاری IBM به کمپانی HCL ، طی دو سال صورت خواهد گرفت، اما هرگونه تغییر در مالکیت، وجود برخی وقفه ها و مشکلات را محتمل می سازد. با وجود اینکه HCL ، پورتفولیوی مشابهی را ارائه می دهد اما بدلیل ناشناخته بودن این برند در بازار امنیت، آنها در جذب مشتریان جدید ناموفق بوده و رتبه پایین تری را به لحاظ قابلیت اجرایی/عملیاتی سازی، کسب کرده اند.
• پورتفولیوی AppScan ، توانمند اما پیچیده است که بهره مندی آن را در پلتفرم های مختلف ناهمگن ساخته است. برای مثال ابزار تحلیل منابع کدباز، تنها بر روی پلتفرم ابری فراهم بوده اما تست اپلیکیشن های موبایلی در تمامی پلتفرم ها در دسترس است. اگر چه HCL در حال برداشتن گام های اولیه برای یک دست سازی استفاده از محصولات در پلتفرم های مختلف (قابلیت Bring Your Own Language) است، اما نتیجه کار فعلاً مشخص نیست.
• قابلیت IAST ، دارای یکپارچگی تنگاتنگی با محصول DAST آنها داشته و به صورت مجزا نمیتوان آن را خریداری نمود. رویکرد passive IAST آنها، میان تیم های DevOps طرفدار داشته است اما به لحاظ زمانبندی انتشار آن، از برنامه عقب هستند.
• مدل قیمت گذاری محصولات کمپانی HCL ، پیچیده است. محصولات ابری در قالب اشتراک محور عرضه شده اما محصولات on-premise ، دارای لایسنسدهی قدیمی مادام العمر و پشتیبانی سالیانه هستند. این ناهمگونی، فرایند خرید سازمان هایی که بدنبال مدل های ترکیبی هستند را پیچیده ساخته است. معیارهای قیمت گذاری محصولات مختلف و براساس تعداد اپلیکیشن، کاربر و اسکن، می باشد.
لاتک–فن آوری لاجورد تکوین–Gartner-AST-Application Security Testing-SAST-Static Application Security Testing-DAST-Dynamic Application Security Testing-IAST-Interactive Application Security Testing-RASP-Runtime Application Self-Protection-Synopsys-MicroFocus-WebInspect-Fortify-Checkmarx-Veracode-WhiteHat Security-IBM-HCL Software-AppScan-Contrast Security-Rapid7-Qualys-Acunetix-Onapsis-Gitlab-CAST
Rapid7
از دیرباز، کمپانی Rapid7 را برای راهکارهای DAST آنها (تحت نام InsightAppSec) در بازار شناخته، اما راهکارهای دیگری در حوزه AST در سالیان اخیر به مشتریان عرضه داشته اند. محصول InsightVM ، به عنوان راهکار ارزیابی آسیب پذیری ها که توانمندی بررسی کانتینرها را نیز دارد، معرفی شده است. محصول tCell ، به عنوان راهکار RASP توانسته است بینش جدیدی را از آسیب پذیری ها و اجرای کدها که پس از پیاده سازی اپلیکیشن ها بُروز می کنند، فراهم آورد. اگر چه اسن محصول دارای برخی تکنولوژی های تست پایه (مشابه دیگر ابزارهای IAST) است، اما کمپانی آن را به عنوان راهکار محافظت از اپلیکیشن معرفی میکند ، نه ابزار تست.
کمپانی Rapid7 ، اعتبار و شهرت خود را برای ابزار قدرتمند DAST خود، حفظ نموده و برای مواقعی که ترکیب DAST و ارزیابی آسیب پذیری ها یا تطابق با compliance مورد نیاز باشد، پیشنهاد می شود. افزودن tCell ، بینش درون-اپلیکیشنی را با روش محافظتی RASP ، فراهم می آورد. بهبود در بخش های احرازهویت و اسکن، در کنار پشتیبانی از فریم ورک های مختلف (همچون React ، Angular و غیره) و همینطور امکان تست اپلیکیشن های تک صفحه ای را نسبت به سال گذشته شاهد هستیم. یکپارچگی با Jira و ابزارهای مختلف CI/DI (از طریق API)، تحلیل عمقی بهتری را همراه با نتایج دقیقتر برای توسعه دهنگان به نحوی ارمغان آورده است که بتوانند بدون نیاز به مراجعه مستقیم به داشبورد ، از نتایج اسکن مطلع گردند.
مرکز اصلی کمپانی Rapid7 ، در امریکا واقع بوده و عمده فعالیت فروش و پشتیبانی آنها در شمال امریکا، کشورهای حوزه EMEA و برخی مناطق APAC ، می باشد. سرویس ابری InsightAppSec ، در قالب محصول on-premise و سرویس مدیریت شده نیز عرضه می شود.
نقاط قوت
• Rapid7 ، از شهرت و اعتبار مناسبی برای ابزار DAST (علی الخصوص پشتیبانی از قابلیت ایجاد ارزیابی دستی و سفارشی شده پیچیده) برخوردار است. همچنین تست ها به صورت تعاملی اجرا می شوند که امکان تغییر پارامترها و عیب یابی و ارزیابی رفع آنها وجود دارد.
• تکنولوژی Universal Translator با تحلیل درخواستها، شناسایی قالب های مختلف و نرمالسازی داده ها را در یک شکل استاندارد فراهم نموده تا بتوان حملات مشابهی را ایجاد کرد. همچنین برای فرمت هایی همچون سرویس های وب از نوع JSON و REST که قابل کراول نیستند، میتوان از امکان ضبط ترافیک کاربر بهره گرفت.
• پشتیبانی از فریم ورک های مختلف، Rapid7 را به گزینه ای جذاب و مناسب برای تست اپلیکیشن های مدرن و single-page ساخته است.
• Rapid7 ، بازخوردهای مثبتی را در زمینه سادگی کاربری، داشبوردها و گزارش دهی، از مشتریان و کاربران خود دریافت نموده است. برای مثال توسعه دهندگان از ارائه پیشنهادات، توضیحات و اطلاعات ارائه شده در مورد هر خطا، امکان اجرای حملات جهت درک بهتر آسب پذیری و ساخت وصله برای رفع آنها، رضایت داشته اند.
نقاط ضعف
• با قرارگیری راهکارهای ارزیابی آسیب پذیری و RASP در پورتفولیوی کمپانی Rapid7 ، محصولات آنها از DAST فراتر رفته اما قابل مقایسه با ابزارهای دیگر کمپانی ها نمی باشند. برای مثال، اگر چه InsightVM و tCell به شناسایی آسیب پذیریها در اپلیکیشن و کانتینرها کمک می کنند، اما از قابلیتهای استاندارد ابزارهای تحلیل منبع کد (همچون هشدار مجوزهای ابزارهای متن باز) برخوردار نمی باشند.
• اگر چه نتایج تست ها با جزئیات ارائه می شوند، اما امکان یکپارچگی با IDEها فراهم نبوده و توسعه دهندگان برای مشاهده اطلاعات میبایست به داشبورد InsightAppSec رجوع کنند.
• اگر چه هر یک از محصولات Rapid7 ، بر روی یک پلتفرم واحد ساخته شده اند، اما آنها فاقد امکان همبسته سازی نتایج اسکن میان یکدیگر بوده که در دیگر ابزارهای ارائه شده توسط رقبا، این قابلیت وجود دارد.
• Rapid7 از انجام اسکن به صورت توزیع شده پشتیبانی نمی کند.
لاتک–فن آوری لاجورد تکوین–Gartner-AST-Application Security Testing-SAST-Static Application Security Testing-DAST-Dynamic Application Security Testing-IAST-Interactive Application Security Testing-RASP-Runtime Application Self-Protection-Synopsys-MicroFocus-WebInspect-Fortify-Checkmarx-Veracode-WhiteHat Security-IBM-HCL Software-AppScan-Contrast Security-Rapid7-Qualys-Acunetix-Onapsis-Gitlab-CAST
راهکارهای قابل ارائه توسط شرکت فناوری لاجورد تکوین (لاتک)
در زمینه تست امنیت اپلیکیشن
Synopsys – HPE/MicroFocus – Fortify – WebInspect – IBM/HCL Software – AppScan – Rapid7 – Acunetix