HP Fortfify on Demand is waarschijnlijk één van beste Source Code Analyse services voor het vinden van beveiligingslekken en het identificeren van code-issues. Dus maken wij gebruik van deze HP service tijdens het analyseren van onze geleverde applicatie codes. Lees onze blog om meer te weten te komen over de kwetsbaarheden die Fortify on Demand kan vinden. 

Veiligheid staat voorop!

Het is in het belang van BSL en onze klanten dat onze software en applicaties veilig en betrouwbaar zijn. Om aan deze eis te voldoen, is het belangrijk dat wij de beste Source Code Analyse Tools inzetten. Zodoende gebruiken wij Fortify on Demand, een online dienst van HP. Deze tool analyseert de code en de bibliotheken die wij gebruiken, tijdens het ontwikkelen van web applicaties. Hierdoor kunnen wij code kwetsbaarheden identificeren. Waarna wij onze code kunnen wijzingen en onze klanten en hun gebruikers tegen aanvallen kunnen beschermen.

Fortify on Demand

In het verleden hebben wij met diverse Source Code Analyse Tools gewerkt, zoals Klocwork en FindBugs. Wij hebben de overstap naar Fortify on Demand gemaakt, aangezien deze tool unieke functies aanbiedt die bij onze klanten hoog in het vaandel staan. De tool is in staat om snel kwetsbaarheden op te sporen, die door hackers kunnen worden gebruikt om web diensten aan te vallen of zelfs uit te schakelen. Fortify kan statische code-issues identificeren, door de code te scannen. Ook kan er een dynamische scan worden uitgevoerd, door het gebruik van de code na te bootsen. Door beide scans te gebruiken, geeft Fortify een compleet overzicht van mogelijke exploitaties en kwetsbaarheden. Als eerste wordt geïdentificeerd waar het issue in de code ligt. Daarna worden er verdere hints gegeven hoe deze issue het beste kan worden opgelost. Het bevat alles wat onze ontwikkelaars nodig hebben om snel de vereiste wijzingen toe te passen.

Soorten kwetsbaarheden

Een voorbeeld van een kwetsbaarheid die door Fortify on Demand gevonden kan worden is een Insecure Transport. In dit geval is de verbinding met server niet beveiligd. Waardoor aanvallers kunnen zien welke data naar de server wordt verstuurd. De oplossing hiervoor is simpel: wij gebruiken een beschermd protocol. Een voorbeeld is FTPS in plaats van FTP.

Een ander voorbeeld is een Resource leak. Dit kan optreden wanneer een verbinding niet correct wordt afgesloten na gebruik. Hackers kunnen misbruik maken van een systeem dat maar een beperkt aantal verbindingen tegelijkertijd open kan houden. Wanneer een hack succesvol wordt uitgevoerd, kunnen de aanvallers een server onbruikbaar maken of beveiligingsdiensten blokkeren. Zodra een dergelijk probleem wordt vastgesteld, kunnen onze ontwikkelaars direct de code wijzigen. Dit zorgt ervoor dat elke verbinding wordt gesloten, wanneer deze niet meer nodig is. 

Een derde voorbeeld is een System Information Leak. Dit kan optreden wanneer de informatie die aan de gebruiker wordt getoond, technische details bevat. Voorbeelden van details zijn de type database, het besturingssysteem of zelfs een gebruikersnaam. Deze informatie maakt het voor een hacker gemakkelijker om een aanval op de server te plannen. Als voorbeeld – wanneer een aanvaller het besturingssysteem kent, weet hij wellicht andere kwetsbaarheden over de gebruikte software versie. Dit kan verholpen worden door de technische details weg te laten, en alleen de essentiële informatie weer te geven.

Dit zijn slechts enkele eenvoudige voorbeelden. Door de code te scannen, met het gebruik van Fortify, kunnen onze ontwikkelaars snel veranderingen aanbrengen om de beveiliging te verbeteren. De rescan erna kan worden gebruikt om te bevestigen of de wijziging heeft gewerkt.

Veilige software voor onze klanten

Fortify

Onze software ontwikkelaars zetten Foritfy onder andere in bij het door ons ontwikkelde Pulse. Pulse is een nieuws- en attenderingssysteem, ontworpen en ontwikkeld door BSL. Pulse levert de vele professionals die werkzaam zijn bij PwC in Europa duizenden geprofileerde nieuwsfeeds. Niet alleen via de website van het bedrijf, maar ook via e-mail en hun smartphones. Door automatisch de beste inhoud te selecteren, houdt Pulse de PwC consultants up-to-date van de laatste bedrijfsontwikkelingen.

Fortify is slechts één van de tools die wij hebben gebruikt om onze Pulse-software te verifiëren – die uit meer dan honderdduizend coderegels bestaat. En het is waarschijnlijk een teken van ons succes dat Pulse al meer dan 7 jaar in gebruik is en nooit succesvol is aangevallen!

BSL biedt uw gebruikers veiligheid

Wilt u meer weten over hoe BSL uw gebruikers en webapplicaties veilig kan houden? Neem contact met ons op – natuurlijk geheel vrijblijvend. En wij adviseren u graag hoe u de veiligheid van uw webapplicatie kunt verbeteren.

Pin It on Pinterest