文/李延華 | 2009-06-26發表

關於HP在軟體開發方面的資訊安全解決方案,DevInspect是負責開發階段的靜態程式碼安全性檢測工具,主要搭配開發工具掃描軟體專案的程式碼,找出有安全性疑慮的程式碼,並提供修正建議。

它最大的特色是針對.NET程式,提供自動矯正的功能,可以幫助開發者修正程式碼。除此之外,HP還有測試階段的QAInspect、上線階段的WebInspect,及企業資訊安全風險管理平臺Assessment Management Platform等4大產品。

黑/白箱混合驗證可降低誤判率

在靜態程式碼安全性檢測方面,DevInspect支援Java、JSP、VB.NET、C#等語言,並可安裝於Visual Studio 2005/2008及Eclipse 3.2/3.3/3.4等IDE開發工具。

安裝完成之後,開發工具中會增加一個DevInspect的導覽頁籤,以檔案總管的型式展示網頁架構。在執行掃描之前,所有的檔案都顯示問號,表示未知有無漏洞;掃描之後,系統會在檔案前以綠色的勾勾顯示沒有問題,紅色的叉表示有安全問題。

DevInspect混合兩種測試手法,先透過掃描程式碼找出弱點,再用黑箱手法驗證是否真為漏洞。之所以提供包含部分黑箱測試機制的混合式掃描,是因為白箱手法多少有誤判的可能性。其中運作原理是在Debug Mode修改變數值,並在程式執行過程中,監控變數是否經驗證或主動過濾有問題的內容。

黑/白箱混合驗證手法的好處,除了可以降低誤判率,對於程式呼叫到無法判斷安全性外部元件時,這麼做可以觀察資料進入到元件再出來時,內容是否經過過濾,以判斷有無安全性漏洞。

自動修正功能,能主動幫助.NET開發者修復弱點

除了以黑白箱混合測試的手法降低誤判率,DevInspect另一項特色是在.NET的部分,提供自動修正的功能。開發者只要點選弱點列表中的問題,按右鍵選擇「Fix Vulnerability」功能,系統即跳出一個小視窗,顯示建議修改的內容,如果使用者按「Apply」,系統即自動在程式中加入這一段建議的程式碼,修復已知的漏洞。

提供範例程式作為修復弱點的參考雖常見,不過由於資料傳遞牽涉的流程,可能與商業邏輯相關,所以範例未必可以套用在每一種情境。而DevInspect提供自動修正機制,它只在輸入及輸出的部分加入驗證機制,不牽涉流程,也不影響商業邏輯。

若不採用自動修正功能,DevInspect同樣也有弱點解釋、修復建議及範例程式(內容為英文),開發者也可以選擇參考系統建議,自行修復問題。

修改程式碼之後,若要確認是否真的沒有問題,DevInspect本身有單頁掃描(Reanalyze Page)功能,可以重新做一次檢查,又不必再耗費時間掃描全系統。

此外,遇到系統誤判或者暫不處理的情況,開發者可針對特定弱點,選擇此次、此網頁或此網站「忽略這個問題」,以免每次掃描一再出現,造成工作上的困擾。

目前HP針對DevInspect,提供產品販售、定期掃描的服務,及短期的租賃模式,有興趣的企業,可依需求選擇適合的方案。

可搭配其他HP產品,把關軟體開發各階段的安全性

同系列產品還包括WebInspect是運用模擬駭客攻擊的黑箱手法,檢驗網站的安全性。尤其它支援檢測Ajax及Flash應用的安全性,對於Web 2.0網站的檢驗可以更全面。

而QAInspect則是整合於HP Quality Center的測試工具。事實上,它的引擎與WebInspect相同,也是黑箱測試的手法。兩者的不同之處,在企業必須購買Quality Center才能安裝QAInspect。而QAInspect 發現的漏洞會自動轉成問題單,交由專案經理分派工作。

最後,Assessment Management Platform統合以上資訊,Web應用程式從開發、測試到上線,各階段的安全性相關資訊與數據,都可以彙整到這平臺,讓開發、QA、專案經理及高階管理者等不同角色的人員,透過量化的數據、比較圖、趨勢圖及評分等機制,掌握公司各個不同Web應用程式的安全風險。

               

特色1:自動修正機制

DevInspect最大的特色在於提供自動修正機制,開發者選擇「Fix Vulnerability」,系統即跳出一個視窗,標示將在程式碼中增加的內容,接下來按「Apply」即自動生效。

 

特色2:弱點的詳細說明

各項弱點的成因及影響層面,DevInspect也有詳細解說,並包含風險等級的資訊。

 

特色3:提供修正建議

針對各項安全弱點,DevInspect均提供「英文」的修正建議,並附上範例程式。以VisualStudio為例,有C#和VB.NET兩種版本的內容說明。

 

特色4:重新分析

針對單一網頁的弱點問題,開發者在修正之後,可以立即選擇「Reanalyze Page」再次掃描,確認問題已經排除。

 

產品評析

優點:

在Visual Studio環境下,提供自動修正功能

具備黑/白箱混合驗證的手法,可降低誤判率

可針對特定網頁重新掃描

缺點:

沒有Web介面,且報表無法自定

弱點說明與修復建議均為英文

 

產品資訊

HP DevInspect 5.1

● 建議售價:20萬元/臺

● 原廠:HP

● 電話:(02)8722-9000

● 網址:www.hp.com.tw

● 整合的開發工具

Visual Studio、Eclipse

● 支援的程式語言

Java、JSP、C#、VB.NET、ASP.NET、ASP、Web Services

● 安裝的系統平臺

Windows

● 安全性規則

具備線上更新機制、使用者可以客製安全性

● 操作介面

整合IDE開發環境提供掃描機制,弱點可依嚴重性等級分類;內建審查機制,能針對弱點提供問題解釋、修正建議及報表功能。若與風險管理平臺整合,即具備Web管理及身分認證機制

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

【相關報導請參考「靜態程式碼安全性檢測採購大特輯」】

熱門新聞

Advertisement