如何選擇優良的靜態應用程式安全檢測系統
現今企業在其網路架構、伺服器方面的資安防護措施多半已臻成熟,然而駭客攻擊的目標已經由網路層逐漸轉向企業所撰寫的應用程式。近幾年市場出現了數個新興的應用程式安全檢測技術,其中靜態應用程式安全檢測(Static Application Security Testing, 以下簡稱SAST)便是檢測應用程式安全的主流之一。對於自行或委外開發應用程式的IT單位而言,採用SAST發掘應用程式漏洞不僅是企業資安策略,更是必要條件。企業需要在最短時間之內評選最適合的SAST廠商。國際權威研究機構Gartner於2009年2月發表報告「Magic Quadrant for Static Application Security Testing」(ID Number: G00164100),針對眾SAST廠商進行深入且專業的分析,結果評鑑Fortify靜態應用程式安全檢測解決方案為業界第一品牌,遙遙領先其他同業(如圖一)。
此份報告將受評鑑廠商區分為四大類:領導者(Leaders)、挑戰者(Challengers)、願景者(Visionaries)、以及小眾利基者(Niche Players)。僅Fortify及Ounce Labs躋身領導者之列。兩家廠商均為創新、專注於SAST解決方案的研發;支援龐大的程式語言,以及具備與軟體開發週期(Software Life Cycle, 以下簡稱SLC)平台的整合能力。雖同為領導者,然而報告指出,Fortify較Ounce Labs擁有更宏觀的願景以及更確實的執行力。
Gartner報告指出,大部分的SLC平台商將會瞭解,將安全測試納入其SLC平台是未來幾年的趨勢,大型的SLC廠商諸如HP以及IBM已經朝此目標努力;微軟已經初具雛形。然而,相較於專注開發SAST解決方案的廠商,這些大型SLC廠商在支援涵蓋選項方面便顯得相形見絀。
評選條件
評選方式以「執行力」(Ability to Execute)為縱軸,「願景完整度」(Completeness of Vision)為橫軸,作為衡量標準。
執行力(Ability to Execute)
‧產品與服務(Product/Service):產品與服務的能力、品質以及功能;SAST銷售業績、SAST客戶數量、對已安裝SLC產品客戶的吸引力、對於資訊安全專家的吸引力。
‧續航力(Overall Viability):評估公司的財務健全狀態、公司是否願意繼續投資擴展SAST的研發、公司在SAST的專業技術、應用程式安全策略。
‧業務執行/價格(Sales Execution/Pricing):SAST銷售成長率、價格結構、產品/服務/支援之結合;廠商presales的能力、廠商支援presales的結構是否健全;交易管理能力、分佈世界銷售管道的運作效率。
‧市場反應能力及記錄(Market Responsiveness and Track Record):當機會來臨、競爭對手採取行動、客戶需求改變、市場發生各樣動態的變化,廠商是否能夠即時反應,彈性地改變既定方向,並在嚴酷的競爭中脫穎而出;廠商在市場的知名度、在安全專家的口碑;廠商提供的產品是否能夠符合買方的要求。是否有紀錄證明,當市場提出創新功能需求時,廠商能符合潮流,開發滿足市場的功能。
‧客戶使用經驗(Customer Experience):產品部署的便利性、操作面、管理面、穩定度、擴展性及廠商的支援能力;也包括與客戶關係是否良好、是否能成功協助客戶完成產品評估。
執行力評分權重分配如表一:
願景完整度(Completeness of Vision)
‧市場瞭解度(Marketing Understanding):廠商是否能瞭解客戶的需求,並將這些需求轉變成具體的產品及服務;是否擁有完整的應用程式安全知識、是否支援檢測廣泛的程式語言、是否能夠容易的與眾多有名的SLC平台整合、是否能將企業不同單位的檢測結果合併產生報表。若工具能夠協助開發人員專注解決嚴重且確定的軟體漏洞,將會獲得高分評價。
‧產品策略(Offering/Product Strategy):產品的開發是否重視差異化、功能性、方法論、特色,讓廠商的策略能夠同時符合目前及未來的需求。在各類不同形式的企業需求中,產品是否能夠在差異中取得最佳的平衡。
‧垂直/產業策略(Vertical/Industry Strategy):廠商是否能夠運用其資源、技術、服務,以符合市場的特定需求,以及是否願意朝垂直市場發展。若能支援更廣泛的市場需求,將獲得高分評價。
‧創新力(Innovation):廠商的產品是否能夠以與眾不同的方法解決關鍵客戶的需求。若工具能提供正確的檢測結果,將獲得最多高分評價。具備以下能力的廠商,將獲較高分評價:提供動態安全檢測(Dynamic Application Security Testing, 以下簡稱DAST)、支援binary code分析、提供應用程式保護功能(譬如WAF, Web Application Firewall)、提供完整品質與安全測試的架構、提供Web service/service-oriented architecture(SOA)測試、以創新的方法讓客戶享用產品的功能(譬如以線上服務的方法讓客戶進行安全測試)。
‧地域策略(Geographic Strategy):廠商是否有能力將資源分配至其本身所處地域以外的地區或國家,以符合國外客戶需求。使用方法包括直接支援、透過代理商、經銷商以及分公司。
願景完整度評分權重分配如表二:
Fortify優勢
Gartner報告指出,Fortify具有以下優勢:
‧Fortify是全球最大SAST廠商之一,擁有高度的創新以及強大的執行力。Fortify的技術已擴展超越SAST,而成為更寬廣的應用程式安全領域:
- Fortify創新開發了一套執行階段的應用程式保護程式(Real Time Analyzer,簡稱RTA)。RTA在應用程式內部運作,保護應用程式的漏洞。
- Fortify同時創新開發了一套新的技術:Program Trace Analyzer,簡稱PTA。PTA可以增加軟體漏洞辨識的準確性,讓軟體測試人員將惡意資料輸入至受測軟體,觀察資料流,分析應用程式的安全檢測機制。
- 所有Fortify的技術可以整合至單一Fortify 360平台,讓軟體安全偵測與保護的機制更為簡化。
‧Fortify較其所有競爭對手廠商提供更為廣泛的程式語言支援。Fortify支援分析的程式語言包括:Java、JSP、ASP.NET、C#、VB.NET、C、C++、COBOL、ColdFusion、Transact-SQL、PL/SQL、JavaScript/Ajax、Classic ASP、VBScript、VB6、以及PHP。
‧Fortify技術可以與大部分的SLC平台整合。可整合SLC平台包括:HP、IBM、Microsoft,因此提供軟體開發及測試人員更為友善的操作以及更強大的生產力。
‧Fortify的SAST市佔率第一名。根據Gartner估計,Fortify 2007年營業額高達貳仟玖佰貳拾萬美金,擁有400家以上客戶,同時約有20%的營業額來自歐洲、日本、以及亞太地區。
‧Fortify與外部的大型服務提供商結盟伙伴關係。結盟商包含Wipro以及Accenture。這些結盟商利用Fortify SAST工具對外提供安全測試服務。
結論
Gartner報告指出,對於所有自行開發或向外採購應用程式的IT部門而言,靜態應用程式安全檢測(SAST)是必要條件。雖然靜態應用程式安全檢測是最近才新興的市場,但基於策略性考量,企業務必實施靜態應用程式安全檢測。Gartner在提供產業研究報告方面一直居於領導者的地位。其深入公正的報告是企業在選擇廠商時的最客觀的參考依據。這次Gartner報告對各SAST廠商作了真知灼見的分析,並指出Fortify具備以下優勢:(1)技術已擴展超越SAST,而成為更寬廣的應用程式安全領域;(2)提供最為廣泛的程式語言支援;(3)可以與大部分的SLC平台整合;(4) SAST市佔率第一名;(5)與外部的大型服務提供商結盟伙伴關係。
Fortify公司深耕軟體安全,在靜態應用程式安全檢測擁有卓越的技術及經驗,今獲得Gartner評鑑為業界第一名殊榮,再次證明Fortify公司在軟體安全界的領導地位。