Coverity發(fā)布網(wǎng)絡(luò)應(yīng)用安全產(chǎn)品——Security Advisor
據(jù)悉,Coverity于10月9日宣布其開(kāi)發(fā)測(cè)試平臺(tái)新產(chǎn)品Coverity Security Advisor融合了創(chuàng)新的靜態(tài)分析技術(shù),能夠幫助開(kāi)發(fā)團(tuán)隊(duì)高效解決Java網(wǎng)絡(luò)應(yīng)用的安全缺陷。這一新產(chǎn)品的發(fā)布很大程度歸功于Coverity研發(fā)團(tuán)隊(duì)與Coverity安全研究實(shí)驗(yàn)室的緊密合作,以及Coverity在靜態(tài)分析技術(shù)方面核心實(shí)力和Coverity在缺陷檢測(cè)領(lǐng)域的專利技術(shù)--精確的可擴(kuò)展技術(shù)。
Coverity擴(kuò)展了Static Analysis Verification Engine 靜態(tài)分析驗(yàn)證引擎(Coverity SAVE?),深刻理解源代碼和現(xiàn)代網(wǎng)絡(luò)應(yīng)用架構(gòu),提供更加準(zhǔn)確的修復(fù)建議,協(xié)助開(kāi)發(fā)者識(shí)別并修復(fù)導(dǎo)致常見(jiàn)漏洞的安全缺陷,包括SQL注入和跨站點(diǎn)腳本。從開(kāi)發(fā)者角度出發(fā),徹底分析現(xiàn)代網(wǎng)絡(luò)應(yīng)用。Coverity的新技術(shù)能夠處理復(fù)雜的現(xiàn)代網(wǎng)絡(luò)應(yīng)用問(wèn)題,幫助開(kāi)發(fā)者采用靜態(tài)應(yīng)用安全測(cè)試,彌補(bǔ)第一代工具膚淺和完整之處。
Coverity的創(chuàng)新點(diǎn)包括:
◆增加了帶有框架分析器的靜態(tài)源代碼分析技術(shù),在數(shù)據(jù)通過(guò)應(yīng)用框架時(shí),將誤差降到最低,以便最小化誤報(bào)率。
◆靜態(tài)分析中包含了模糊白盒測(cè)試工具,可以自動(dòng)驗(yàn)證數(shù)據(jù)清理程序可以充分處理不可信數(shù)據(jù)數(shù)據(jù)并能夠在合適的環(huán)境下執(zhí)行。
◆提供針對(duì)具體缺陷的精確修復(fù)指導(dǎo),以保證開(kāi)發(fā)者能夠理解修復(fù)安全缺陷的正確方法。
Coverity創(chuàng)始人之一 Andy Chou(Coverity CTO)表示"修復(fù)安全漏洞不僅需要在集成開(kāi)發(fā)環(huán)境中整合靜態(tài)測(cè)試技術(shù),開(kāi)發(fā)者要保證所有識(shí)別的缺陷都是真實(shí)的缺陷,并且理解如何在代碼中修復(fù)這些缺陷""第一代靜態(tài)分析工具在幫助開(kāi)發(fā)者時(shí)存在著效率不高的問(wèn)題,因?yàn)殚_(kāi)發(fā)者無(wú)法提供上述信息。我們能夠幫助開(kāi)發(fā)者分析這一難題,更容易地找到并修復(fù)缺陷。
"我們理解開(kāi)發(fā)--這是是Coverity的核心優(yōu)勢(shì),"Coverity CEO Anthony Bettencourt說(shuō)到"我們是靜態(tài)分析市場(chǎng)的領(lǐng)導(dǎo)者,這一點(diǎn)毋庸置疑,尤其是在嵌入式軟件質(zhì)量和安全方面,我們擁有10多年的技術(shù)經(jīng)驗(yàn),并且我們的產(chǎn)品和服務(wù)廣為開(kāi)發(fā)者采用。同時(shí),在網(wǎng)絡(luò)安全市場(chǎng)推廣此項(xiàng)技術(shù)是Coverity開(kāi)發(fā)測(cè)試戰(zhàn)略的自然延伸。大約有75%的安全襲擊都發(fā)生在應(yīng)用層面,因此在開(kāi)發(fā)階段解決應(yīng)用安全問(wèn)題至關(guān)重要。該項(xiàng)技術(shù)能為開(kāi)發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)的工作帶來(lái)革命性的變革,兩個(gè)團(tuán)隊(duì)將致力于推進(jìn)安全問(wèn)題的解決。
高德納咨詢公司研究副總裁Joseph Feiman博士以及Gartner Fellow在2011年11月29日發(fā)表的一份報(bào)告(應(yīng)用安全測(cè)試:從單元到相互關(guān)聯(lián)和相互作用)中表示,"為了將關(guān)鍵業(yè)務(wù)應(yīng)用遭受攻擊的風(fēng)險(xiǎn)降至最低,應(yīng)用開(kāi)發(fā)者和安全專家需要準(zhǔn)確的技術(shù)測(cè)試解決類似SQL注入、跨站點(diǎn)腳本以及緩存區(qū)溢出這樣的缺陷,而新一代的應(yīng)用安全測(cè)試技術(shù)恰恰能夠?qū)崿F(xiàn)這一點(diǎn)。"
目前Coverity新技術(shù)已應(yīng)用于Coverity Development Testing platform 6.5。
