Szoftvertervezés biztonságosan

A Fortify Software névre hallgató kaliforniai cég két olyan eszközkészletet kínál felhasználásra, melyek segítségével le lehet tesztelni a szoftvereket a potenciális biztonsági hibák meglétére – még aközben, mikor magának a programnak a fejlesztése zajlik. A Fortify terméke lehetővé teszi a vállalatok számára, hogy a programozók által készített kódokat még közelebbről vizsgálhassák meg, s a biztonsági szempontból gyenge pontokat megerősíthessék.

A cég Source Code Analysis és Run-time Analysis nevű termékei olyan ˝hétköznapi˝ sérülékenységeket keresnek a kódsorokban, mint például verempuffer túlcsordulási vagy sztringformázásbeli hibából származó biztonsági lyukak C/C++ és Java-s környezetben – minden problémára természetesen azért nem jelent megoldást a két termék. A szoftverek egyébként több különböző operációs rendszeren is elfutnak, például linuxokon, Windows-on és a Sun Microsystems Sloaris-án is.

Ted Schlein, a Fortify vezetője a következőképp nyilatkozott: ˝A vállalati hálózatok határvédelmének fejlesztésébe fektetett erőfeszítések ellenére a vállalatok továbbra is potenciális célpontjai a komoly fenyegetéseknek, főként az alkalmazásszintű sebezhetőségek megléte miatt. A biztonsági sérülékenységek korai, még a fejlesztési fázisban való felfedése lehetővé teszi az alkalmazások megerősítését az internetes veszélyekkel szemben.˝

Egy – többek között az FBI aktív részvételével létrehozott -, még 2003-ban kiadott jelentés szerint az online támadások folyamatosan növekednek, s ezeknek 92 százalékáért egy, a korábbiakban felbukkant biztonsági hiba a felelőse. A Fortify arra is felhívta a figyelmet, hogy csak az Egyesült Államokban évente több mint 400 milliárd dolláros kárt okoznak az online elkövetett csalások és visszaélések. Nem csoda, hogy a cég nincsen egyedül a piacon a termékével: akadémiai kutatócsoportok és nagyobb vállalatok is rendelkeznek hasonló működést biztosító szoftverekkel; például a Microsoftnak is saját tesztelési eljárása van.