Mit der neuen, ab sofort verfügbaren Version des Application Security Center, das sich HP im Sommer 2007 mit der Akquisition von SPI Dynamics ins Haus geholt hat, sollen sich sicherheitsrelevante Schwachstellen in Web-Anwendungen über den kompletten Applikationslebenszyklus hinweg identifizieren, beseitigen und verhindern lassen. Kernstück des HP-Centers ist die "Assessment Management Platform" zur Steuerung von Sicherheitstests. Sie umfasst die Softwarelösungen "HP DevInspect" (für Entwickler), "HP QAInspect" (für das Quality-Assurance-Team) sowie "HP WebInspect" (für Security-Experten und den IT-Betrieb). Folgende Neuerungen sollen Unternehmen dabei unterstützen, Sicherheitsvorkehrungen in ihre bestehenden Application-Lifecycle-Prozesse zu integrieren:
-
HP DevInspect (unterstützt Microsoft Visual Studio 2008, Visual Studio 2005 und Eclipse): Dank verbesserter Hybridanalyse, einer Kombination aus statischer Analyse (ohne Ausführung des Quellcodes der Applikation) und dynamischer Analyse (mit Ausführung des Quellcodes), sollen sich die gefährlichen Schwachstellen aufdecken und damit priorisiert beheben lassen.
-
HP QAInspect integriert das Management von Sicherheitstests in die "HP Quality Center Software", die auch die Prozesse zur funktionalen Qualitätssicherung steuert. In der neuen Version sollen sich Schwachstellen in einem Datenbereich sammeln, prüfen und in einer konsolidierten Liste darstellen lassen. Damit können Applikationsteams Sicherheitsmängel herausfiltern und entsprechend ihrem Risikograd priorisieren. Zudem stehen die Informationen über Security-Defizite allen Teams in jeder Phase des Applikations-Lebenszyklus zur Verfügung, was Fehleridentifikation und -behebung beschleunigen soll.
-
HP WebInspect wiederum soll schnellere und präzisere Scans zum Auffinden derjenigen Sicherheitslecks ermöglichen, die Hacker am häufigsten ausnutzen - wie etwa Cross-Site-Scripting- oder SQL-Injection-Lücken.
Darüber hinaus hat HPs Web Security Research Group (ehemals SPI Labs) die Sicherhejtstests im Application Security Center ergänzt und aktualisiert. Bestandskunden des Herstellers erhalten innerhalb von 24 Stunden ein automatisches Update mit den neuen Sicherheitschecks. (kf)