HP hat seiner Software für das Sicherheits-Testing von Web-Anwendungen ein umfangreiches Update spendiert, das die Zusammenarbeit zwischen den Unternehmensbereichen Entwicklung, Qualitätssicherung und IT Betrieb sowie Security-Experten erleichtern soll. Wichtig ist die diesbezügliche Teamarbeit insofern, als sich viele Sicherheitslücken besser in der Entwicklungs- und Qualitätssicherungsphase vermeiden lassen als erst im Produktivbetrieb. Allerdings sind Entwickler und Tester in der Regel keine Security-Experten, so dass Web-Applikationen nicht selten mit Sicherheitsmängeln in Betrieb genommen werden.
Web Application Security erfordert Teamarbeit
Dafür spricht nicht zuletzt eine aktuelle Umfrage von Vanson Bourne unter weltweit 1000 IT-Managern: 80 Prozent der Befragten sind der Meinung, die Verantwortung für Anwendungssicherheit obliege den Teams für IT-Sicherheit beziehungsweise dem IT-Betrieb. Lediglich 23 Prozent gaben an, dass auch ihre Entwicklungs- oder Qualitätssicherungs-Teams involviert seien. "Nach außen gerichtete Applikationen mögen der Lebensnerv eines Unternehmens sein - ungesichert können sie Hackern die Tür zu den kritischsten Daten eines Betriebs öffnen", mahnt auch Gartner-Analyst Joseph Feiman. Für Organisationen gelte es demnach, nicht nur in ihren Web-Anwendungen befindliche Schwachstellen aufzuspüren und zu beheben, sondern auch dafür zu sorgen, sie von der Anforderungsdefinition über die Entwicklung und Tests bis hin zur Inbetriebnahme zu vermeiden.
Mit der neuen, ab sofort verfügbaren Version des Application Security Center, das sich HP im Sommer 2007 mit der Akquisition von SPI Dynamics ins Haus geholt hat, sollen sich sicherheitsrelevante Schwachstellen in Web-Anwendungen über den kompletten Applikationslebenszyklus hinweg identifizieren, beseitigen und verhindern lassen. Kernstück des HP-Centers ist die "Assessment Management Platform" zur Steuerung von Sicherheitstests. Sie umfasst die Softwarelösungen "HP DevInspect" (für Entwickler), "HP QAInspect" (für das Quality-Assurance-Team) sowie "HP WebInspect" (für Security-Experten und den IT-Betrieb). Folgende Neuerungen sollen Unternehmen dabei unterstützen, Sicherheitsvorkehrungen in ihre bestehenden Application-Lifecycle-Prozesse zu integrieren:
HP DevInspec (unterstützt Microsoft Visual Studio 2008, Visual Studio 2005 und Eclipse): Dank verbesserter Hybridanalyse, einer Kombination aus statischer Analyse (ohne Ausführung des Quellcodes der Applikation) und dynamischer Analyse (mit Ausführung des Quellcodes), sollen sich die gefährlichen Schwachstellen aufdecken und damit priorisiert beheben lassen.
HP QAInspect integriert das Management von Sicherheitstests in die "HP Quality Center Software", die auch die Prozesse zur funktionalen Qualitätssicherung steuert. In der neuen Version sollen sich Schwachstellen in einem Datenbereich sammeln, prüfen und in einer konsolidierten Liste darstellen lassen. Damit können Applikationsteams Sicherheitsmängel herausfiltern und entsprechend ihrem Risikograd priorisieren. Zudem stehen die Informationen über Security-Defizite allen Teams in jeder Phase des Applikations-Lebenszyklus zur Verfügung, was Fehleridentifikation und -behebung beschleunigen soll.
HP WebInspect wiederum soll schnellere und präzisere Scans zum Auffinden derjenigen Sicherheitslecks ermöglichen, die Hacker am häufigsten ausnutzen - wie etwa Cross-Site-Scripting- oder SQL-Injection-Lücken.
Analyse von Schwachstellen und Angriffstechniken
Darüber hinaus ergänzt und aktualisiert HPs Web Security Research Group (ehemals SPI Labs) die Sicherheitstests im Application Security Center. Bestandskunden des Herstellers erhalten innerhalb von 24 Stunden ein automatisches Update mit den neuen Sicherheitschecks. (kf)