Mengapa Keamanan Aplikasi Generasi Selanjutnya Diperlukan

Oleh David Brumley

Software merevolusi cara dunia beroperasi. Dari mobil tanpa pengemudi hingga cryptocurrency, perangkat lunak menata ulang berbagai kemungkinan. Dengan perangkat lunak yang menjadi inti dari semua yang kami lakukan, kami mendapati diri kami mendorong keluar kode lebih cepat dari sebelumnya. Perkiraan saat ini menunjukkan bahwa ada lebih dari 111 miliar baris kode baru yang ditulis per tahun. Dan tekad kami untuk mengembangkan teknologi terbaru dengan cepat telah menempatkan keamanan aplikasi menjadi halangan, dan sebagai “biaya”. hidup dengan waktu keamanan yang dipinjam.

Intinya bukan untuk memikirkan kekurangan kita dalam keamanan perangkat lunak, tetapi untuk menyoroti bahwa kita harus berpikir lebih besar jika kita ingin memecahkan masalah keamanan siber yang kritis ini. Menghilangkan 20, 50, 100 kesalahan positif secara manual dari simpanan 10.000 laporan bug — laporan yang hanya meningkat berlipat ganda setiap hari — tidak akan mengubah arah. Dan itu sangat mahal, dengan rata-rata insinyur AppSec menghasilkan lebih dari $ 133.000 per tahun dan dalam persediaan yang terbatas. Bukankah waktu mereka seharusnya lebih baik dihabiskan daripada mencari kesalahan positif?

Yang dibutuhkan adalah keamanan aplikasi otonom. Kami membutuhkan solusi pengujian keamanan aplikasi yang mampu secara akurat mengidentifikasi masalah pada kecepatan dan skala.

Autonomous bukan Automation

Saya secara khusus ingin menekankan kebutuhan mendesak untuk generasi berikutnya untuk menjadi otonom. Ini tidak menjadi bingung dengan otomatisasi. Tidak seperti otomatisasi, kemampuan otonom mencakup lebih dari sekadar melakukan tugas yang telah diprogram sebelumnya dengan kecepatan mesin.

Pengujian keamanan aplikasi otomatis dapat secara cerdas menyesuaikan teknik pengujiannya dengan kebutuhan spesifik setiap aplikasi — tidak ada rangkaian pengujian yang dibuat sebelumnya dan tidak ada satu ukuran yang cocok -semua pendekatan. Ini menarik data dari hasil pengujian sebelumnya, dan memanfaatkannya dengan membuat penyesuaian untuk pengujian berikutnya. Hal ini memungkinkan tim keamanan produk untuk menghilangkan upaya manual dalam proses manajemen keamanan aplikasi.

Solusi saat ini seperti pengujian keamanan analisis perangkat lunak (SAST) tidak gesit. Mereka meninjau kode baris demi baris. Mereka juga tidak memiliki sarana yang diperlukan untuk validasi, yang akan mengatasi masalah positif palsu. Insinyur perangkat lunak harus menerima praktik, dan membangun waktu yang diperlukan untuk menyelidiki setiap hasil. Sementara itu, pengujian

Fuzz adalah teknik pengujian keamanan aplikasi dinamis (DAST) yang mengirimkan input yang salah ke target, dengan tujuan memicu perilaku buruk dalam menjalankannya. perangkat lunak, seperti crash, infinite loop dan/atau kebocoran memori. Perilaku anomali ini sering kali merupakan tanda kerentanan yang mendasarinya.

Pengujian fuzz adalah jenis analisis berbasis perilaku yang dinamis. Awalnya, industri memiliki web-fuzzer DAST, di mana alat tidak mengetahui kode itu sendiri. Ini menjadi sedikit lebih maju dengan pengujian keamanan aplikasi interaktif (IAST), yang menyediakan loop umpan balik kode, tetapi tidak membantu Anda memperluas cakupan, membuat Anda berisiko terhadap kode yang belum diuji. Kode yang belum diuji adalah kode yang berisiko.

Pengujian fuzz, kemudian, adalah generasi berikutnya, yang secara otomatis menemukan bug. Pengujian Fuzz juga merupakan satu-satunya solusi analisis dinamis yang membantu mengurangi awan ketidakpastian dari kode yang belum diuji karena terus memperluas cakupan kode. Kemampuan untuk mengembangkan rangkaian pengujian Anda membantu Anda mendapatkan perbaikan yang dilakukan lebih cepat, dan dengan lebih pasti. Pengujian keamanan aplikasi otonom berbasis pengujian

Fuzz lebih dari sekadar menunjukkan kerentanan. Biasanya, hambatan utama untuk mendapatkan perbaikan adalah apakah itu merusak fitur yang ada. Google melaporkan bahwa 40 persen dari bug-nya jatuh ke dalam kegagalan regresi. Dengan menguji dan menguji ulang untuk mengonfirmasi bahwa setiap kerentanan memang nyata, pengembang dapat membidik pada baris kode tertentu yang memerlukan penyelidikan lebih lanjut — sehingga menghemat waktu dan sumber daya.

Validasi ini juga penting untuk alur kerja continuous integration and delivery (CI/CD) , karena memungkinkan pengembang untuk memotong bagian kode dan memeriksa bagian itu secara otomatis sebelum bergabung dengan master.

Selanjutnya, pengujian keamanan aplikasi otonom generasi berikutnya mencakup eksekusi simbolis, yang mampu mengabstraksikan input dan oleh karena itu memetakan jumlah yang lebih besar dari kode, meningkatkan cakupan dalam kasus ujinya. Seringkali ini adalah area kode di mana kerentanan zero-day berada, dan area di mana pengujian keamanan konvensional tidak menyelidiki.

Keamanan Otonom Mengambil

Pada tahun lalu saja, kami telah melihat perubahan yang lebih lanjut mengakui perlunya keamanan aplikasi yang lebih otonom:

<

ul>

  • Gartner telah menambahkan pengujian fuzz, teknologi di balik pengujian keamanan aplikasi otonom, ke AST Critical Capabilities-nya. Kemampuan Kritis Gartner menguraikan kriteria untuk memenuhi syarat ke dalam Kuadran Ajaibnya.liu

    <

    ul>iKebangkitan kepala petugas keamanan produk. Serupa dengan munculnya peran CISO dan disiplin keamanan informasi, kami melihat organisasi menerapkan disiplin keamanan produk dan memberikan CPSO tempat duduk di meja eksekutif. Grup keamanan produk bertanggung jawab atas keamanan produk yang mereka tawarkan, yang jelas berbeda dari mengamankan operasi perusahaan. Vendor repositori liu

      iGit memasuki ruang pengujian keamanan aplikasi. GitHub dan GitLab keduanya telah bergerak ke pasar pengujian keamanan aplikasi, menyoroti kebutuhan untuk memungkinkan pengembang menulis kode yang aman. GitLab, khususnya, memperoleh bukan hanya satu tetapi dua solusi pengujian fuzz.

    Keamanan aplikasi otonom ada di sini, dan dunia siap untuk itu.

    David Brumley adalah CEO ForAllSecure.

     
    Tulis komentar
    Bagikan artikel ini:

  • Sponsoredliu

    <

    ul>iVululuu

  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: