Llegamos a ustedes gracias a:



Noticias

IBM busca emparejar dos tecnologías de seguridad

[08/03/2010] Enfocada en la necesidad de una mayor seguridad en el desarrollo de aplicaciones, IBM Rational está planeando un producto de nivel empresarial, que incluye dos tecnologías adquiridas por separado: una de pruebas de seguridad y la otra, de escaneo de código.

El producto, que sería lanzado a finales de este año, incluirá las capacidades de prueba de Rational AppScan, adquirido cuando IBM compró Watchfire en el 2007, y el ex software Ounce Labs que se encarga de comprar códigos en temas de seguridad, informó en una entrevista la semana pasada David Grant, director de Soluciones de Seguridad de Rational. IBM compró Ounce el año pasado.
[El producto combinado] trae un nuevo nivel de precisión para realizar pruebas de seguridad, afirmó Grant.
AppScan ha realizado pruebas de software desde el interior, apuntando a las aplicaciones ya construidas; mientras que Ounce ha realizado pruebas de adentro hacia afuera del código fuente buscando fallas de seguridad. Estamos trabajando para unir ambas tecnologías, comentó Grant. IBM promovió el desarrollo de AppScan en el 2008 para llevar a cabo análisis durante el proceso de desarrollo de software.
La tecnología AppScan, según detalló Grant, ha sido incorporada en la entrega de productos de ciclo de vida del software de Rational, tales como RequisitePro y Quality Manager. La tecnología Ounce también está siendo incorporada en las ofertas de Rational.
La seguridad de las aplicaciones es cada vez más importante debido a que el software está impulsándolo todo en estos días, y las aplicaciones web constituyen aplicaciones de negocios front-ending, aseveró Grant. Esto puede exponer los sistemas a individuos extraños, incluyendo individuos maliciosos, que pueden acceder a la información sensible. Pero la seguridad generalmente no ha estado a la vanguardia del desarrollo de software, agregó.
Para ser honestos hay que decir que el problema con la seguridad de las aplicaciones es que los desarrolladores generalmente no se encuentran entrenados y no son incentivados para evitar las fallas de seguridad en las aplicaciones, sostuvo Grant. Los problemas de seguridad pueden ocurrir, tales como la inyección de SQL, en el cual una base de datos proporciona acceso indebido a la información; o el cross-site scripting, en el cual alguien secuestra una sesión del navegador.
La mayoría de los que se dedican al desarrollo de software carecen de conocimientos sobre seguridad, afirmó el analista Chenxi Wang, de Forrester.
Los desarrolladores en gran medida no se preocupan por la seguridad, ni tienen tiempo. Por lo tanto, lo que estamos viendo es que la gama alta del mercado, los desarrolladores más sofisticados, empiezan a tener mandatos de seguridad, pero la mayoría de ellos se encuentran muy lejos en términos de tener conocimientos sobre seguridad en el desarrollo y de tener la voluntad de hacer algo al respecto, manifestó Wang.
La implementación de aplicaciones en la nube también se está convirtiendo en un problema en cuanto al desarrollo de aplicaciones seguras. La nube constituye otra manera de exponer aplicaciones críticas de negocios in the wild, expresó. En la web, cuando alguien está construyendo sistemas habilitados para la nube, tiene que asegurarse de colocarlos también en un ciclo de vida seguro.
IBM no es el único proveedor importante que se ha centrado en la seguridad para el desarrollo de aplicaciones. Microsoft ha publicado sus mejores prácticas SDL (Security Development Lifecycle) para este propósito.
SDL es un conjunto de mejores prácticas y asociaciones. Ellos en realidad no tienen productos de pruebas de seguridad, integrado en su software, acotó Grant.
Paul Krill, InfoWorld (US)