Micro Focus Fortify Security Assistant
Čeprav so orodja za varnostno preverjanje izvorne kode že zdavnaj dozorela, pa se, kot lahko vidimo v praksi, varnostne luknje in pomanjkljivosti še vedno pretihotapijo v aplikacije. Včasih tudi v aplikacije podjetij, ki si že lastijo taka orodja. Pogosto zaradi časovnega pritiska – proizvajalcu aplikacij se tako mudi dati produkt čim prej na tržišče, da sploh preskoči varnostno preverjanje, ga izvede samo na pol, ali pa ne implementira popravkov, ki so bili predlagani.
Kaj če bi bilo mogoče zmanjšati število pomanjkljivosti brez da bi bremzali programerje?
Če delamo v Microsoft Visual Studio 2017, potem si lahko učinkovito pomagamo z najnovejšim orodjem iz palete rešitev za varnostno preverjanje aplikacij MicroFocus Fortify. To je MicroFocus Security Assistant, IDE okolje integriran dodatek za bliskovit dostop do varnostne analize. Programerju prikazuje rezultate sproti – prav tako hitro, kot tipka, se mu tudi prikazujejo informacije o varnostni analizi kode. Je optimiziran za rabo med programiranjem, zato ne upočasnjuje razvojnega okolja in ne prikazuje vseh mogočih morebitnih težav in lepotnih napak, ampak samo tiste stvari, za katere je visoka verjetnost, da so zares varnostna pomanjkljivost.
Security Assistant odkriva torej le manjšo a bolj kritično podmnožico zadev, ki jih lahko odkrije in prikaže Fortify Software Security Analyzer ali statična analiza v Fortify on Demand. To so stvari pomembne za programerje v realnem času, podrobni im kompletni rezultati pa so dostopni ob normalni celostni statični analizi izvorne kode. Security Assistant ne more nadomestiti celostne statične analize, a njegova pomembna prednost je v tem, da nam pomaga odpraviti kritične ranljivosti zgodaj v razvojnem ciklu.
Še ena pomembna dobra plat Security Assistant je – zagotavljanje programerjeve zasebnosti. Vse se dogaja znotraj njegovega osebnega razvojnega okolja, zato lahko napako odpravi hitro in brez prekinitev zara na primer čakanja na naslednji korak projekta ali dokumentiranja napak in vmesnih sprememb. In tudi brez kazanja s prstom na osebo odgovorno za zamudo.
Kdo ga lahko uporablja? Vsi lastniki licenc za Fortify Static Code Analyzer ter Fortify on Demand Static Assessments, BREZ DOPLAČILA. Deluje na Visual Studio 2017 Community, Professional ali Enterprise, na različicah 15.6 ali novejših.
Security Assistant deluje znotraj običajnega uporabniškega vmesnika / pogleda v Visual Studio, zato se ga programerji hitro priučijo, hkrati pa jim ne odžira že tako dragocenega prostora znotraj razvojnega okolja. Najdene varnostne pomanjkljivosti izpisuje znotraj standardnega dela razvojnega okolja, kot opozorila tam, kjer Visual Studio izpisuje napake. Vsako opozorilo je polno podrobnosti ib vključuje tudi nasvete za odpravljanje napake, s čimer še dodatno pripomore k čim hitrejšemu razvojnem ciklu. Ob sprotnih opozorilih je dostopna tudi kompletna analiza oz. zgodovina varnostnih analiz razvojnega projekta.
Fortify Security Assistant for Visual Studio 2017 lahko najdete na spletnem tržišču Visual Studio Marketplace na danem naslovu:
PDF dokumentacija: