OpenText, gelişmiş siber güvenlik denetim teknolojisinin ikinci neslini duyurdu.
Günümüzün geliştiricileri çoklu bulut ortamlarında daha fazla karmaşıklık ve tehditle uğraşmaktadır. Güvenlik ekipleri, uygulama güvenliğini daha karmaşık araçlar ve uygulamalarla ele alma konusunda giderek artan bir baskı hissediyor. Fortify Denetim Asistanı, güvenliği yazılım geliştirme yaşam döngüsünün en başında (kodun başlangıcında) dahil etmeye ve sağlam, güvenli ve güvenilir yazılım sistemleri oluşturmaya yönelik OpenText çözümüdür.
Fortify Audit Assistant, doğruluğu ve performansı yükselterek gürültüyü ve yanlış pozitifleri azaltarak geliştirici verimliliğini artırır. Bunu yaparken güvenlik ekipleri en önemli güvenlik açıklarına odaklanabilir. Ham statik analiz sonuçlarının önceliklendirilmesi ve doğrulanması, uygulama güvenliği testlerinde en fazla zaman alan, manuel süreçlerden biridir.
Şirketler, yazılım mühendisliği, bilgisayar bilimi ve yazılım açıkları konularında insan inceleme uzmanlarından oluşan bir ekip tutmaya gücü yetmez. Fortify Denetim Asistanı, güvenliği otomatikleştirmek ve Fortify’ın insan denetçilerinden bilgi almak için makine öğrenimini kullanarak bu sorunları çözmek için oluşturuldu.
Siber Güvenlik EVP’si Prentiss Donohue, “Fortify Denetim Asistanının ilk nesli, tahmine dayalı analitik ve makine öğrenimi kullanımıyla zamanının çok ilerisindeydi” dedi. “Bu öncü çabalar, insan uzmanlardan 10 yıllık veriler elde etmemizin ve bunları önceki neslin modellerine kıyasla önemli ölçüde daha doğru tahmin modellerine dönüştürmemizin ve yanlış pozitifleri %90’a kadar azaltarak denetimdeki etkinliği artırmamızın yolunu açtı. Şirketler artık sektörde başka hiç kimsenin sağlayamayacağı bu bilgi derinliğinden kendi yazılım güvence programlarında yararlanabilirler.”
Yeni nesil Fortify Denetim Asistanına yönelik önemli güncellemeler şunları içerir:
Model kaymasını hesaba katın. Yeni Denetim Asistanı modelleri, modellerin nasıl çalıştığını ölçen, raporlayan ve herhangi bir model sapmasını gidermek için gerektiğinde bunları yenileyen süreçleri otomatikleştirerek sürekli değişen tehdit ortamına proaktif bir yaklaşım benimsiyor. Güncellenen modeller her üç ayda bir teslim edilecektir.
Bir şirketin benzersiz ortamından öğrenme esnekliği. Yeni nesil Denetim Asistanı, her şirketin benzersiz veri gizliliği ihtiyaçlarını karşılar. Birinci nesilde hem SaaS hem de şirket içi ortamlar için tek bir model kullanıldı. Yeni şirket içi Denetim Asistanı model hattı, bir şirketin projelerinin benzersiz davranışlarını öğrenmek için tasarlandı. Bu öğrenme, zamanla daha fazla güvenlik açığı denetlendikçe daha da iyi hale gelir ve modeller sürekli olarak bir şirketin projesi için neyin uygun olduğunu öğrenir ve bunu yaparken de fikri mülkiyet haklarına duyarlı kalır.
Dil spesifikasyonu aracılığıyla kapsamlı model uzmanlığı. Hiçbir model tek başına her programlama dilini etkili bir şekilde kapsayamaz. Hem şirket içi hem de bulut ortamlarındaki güvenlik açıklarına ilişkin daha fazla bilgi ve uzmanlık sağlamak için yeni nesil Fortify Denetim Asistanı artık 30’dan fazla dile özgü model içeriyor. C++ için tek bir modele, JavaScript için başka bir modele vb. sahip olmak, “uzmanlardan oluşan bir ekibin” (diğer adıyla modeller) daha dar ve derine inmesini sağlayarak model performansını büyük ölçüde artırır, böylece yazılımdaki gerçek güvenlik açıklarını bulma olasılığını artırır.
Ek veriler ve bağlam. Fortify Audit Assistant, milyonlarca kod satırı arasında gerçek pozitif veya yanlış pozitifleri tarar ve tanımlar. Bazen bir tarama sonucu bir güvenlik açığı olabilir ancak söz konusu kod dağıtılan kod değil, test kodu olduğundan yararlanılamayabilir. Bu yeni nesilde Fortify Denetim Asistanı, tarama sonuçlarındaki incelikleri dikkate alır. Bunu yaparken denetimlerin hızı ve etkinliği büyük ölçüde artırılır.