Vòng đời phát triển phần mềm an toàn

Diem Do

Computer Security

Ngay cả khi tất cả chúng ta biết về lỗ hổng cross-site Scripting  và kỹ thuật SQL injections nhưng các cuộc tấn công này trên máy chủ vẫn còn lan tràn khắp nơi. Một phần của điều này là do thực tế của công nghệ bảo mật ( tường lửa, chữ ký , sự định nghĩa quá khứ) không tập trung vào những loại tấn công này. Một phần khác cho rằng, các nhà phát triển phần mềm không nắm bắt chế độ bảo mật cho những thứ mà họ cần quan tâm.

 

Kunal Anand- nhà sáng lập và là Giám đốc công nghệ của nhà cung cấp Prevoty nền tảng bảo mật trong cuộc chiến về lỗ hổng cross-site Scripting từ khi ông ở  MySpace vào năm 2016. Sau đó ông ấy đề cập lại những vấn đề này là “Chúng ta có sâu Samy và đang phải đối mặt với các lỗ hổng cross-site Scripting  và kỹ thuật SQL injections mới phát sinh. Trải qua nhiều năm, dường như có nhiều lỗ hổng cross-site Scripting hơn như ngày nay. “

 

Các tường lửa vẫn là một phần quan trọng của sự bảo vệ của một tổ chức, nhưng Anand cho rằng chúng không bảo vệ để chống lại những gì xảy ra bên trong các ứng dụng. Ông nói “Có một sự không phù hợp giữa bề mặt của các cuộc tấn công và công nghệ bảo mật”.

 

Khi mà mọi người nghĩ rằng việc bảo đảm chế độ bảo mật được xây dựng trên các phần mềm, Anand cho biết họ nghĩ về năm 2000 đó là năm mà Microsoft phát hành hệ điều hành Windows XP. Rõ ràng đó là lỗi mà Bill Gates chuyển người đến những dự án khác để làm việc về vấn đề bảo mật và tạo ra vòng đời phát triển bảo mật.

 

Từ đó đã phát triển vòng đời phát triển phần mềm an toàn. Ba giai đoạn của vòng đời phát triển phần mềm an toàn là lấy yêu cầu, mô phỏng mô hình mối đe dọa và quy trình phát triển. Việc kiểm thử là vào giai đoạn kế tiếp như Anand cho biết.

 

Vì vậy, nếu các nhà phát triển phần mềm không tăng tốc độ việc bảo mật lên thì mã code sẽ gởi lại ngay cho họ các lỗ hổng kiểm thử hay kiểm thử chất lượng, sẽ yêu cầu các nhà phát triển phần mềm hiểu được để có trách nhiệm hơn trong việc bảo mật. Một khi điều đó xảy ra, “các kiểm thử viên phần mềm sẽ gặp phải ít vấn đề hơn trong chu trình phát triển phần mềm – kiểm thử phần mềm lặp lại nhiều lần.”

 

“Người viết ứng dụng có năng lực bảo vệ phần mềm của mình. Các nhà phát triển phần mềm có thể loại bỏ được khả năng đó, nhưng những lỗ hổng bảo mật có thể sẽ quay trở lại tấn công phần mềm.  “

 

Anand cho biết nền tảng của Prevoty là tập trung hoàn toàn vào sự hoàn thiện. Bạn có thể gởi đi một câu truy vấn ‘tàn hình’ nhưng chúng tôi có thể bắt được chúng. Chúng tôi không cần một mô hình nào để phát hiện ra nó. Với Prevoty các nhà phát triển phần mềm có thể sử dụng thông tin nhiễu cho các ứng dụng thừa kế của họ, hay thông qua việc phát triển vòng đời phát triển phần mềm an toàn, có thể tạo ra một chức năng gọi đến để chắc chắn câu truy vấn dữ liệu hay một nội dung được an toàn. 

 

Anand cho biết những người sử dụng nền tảng ‘tokenizer’ và bộ phân tích cú pháp độc quyền để “nhìn thấy những điều này làm việc trước khi chúng được thực thi”. Chúng tôi có thể thực hiện việc kiểm tra trong vòng ít hơn một giây để lọc ra các cuộc tấn công xâm phạm.’

 

Những phần mềm sau này của Prevoty đáp ứng nhu cầu trong sự phát triển phần mềm trong vòng bốn năm nay, và các công ty thoát khỏi chế độ lén lút đầu năm nay. Anand cho biết “Chúng tôi cũng tập trung giúp đỡ cho các nhóm phát triển ứng dụng để triển khai các phần mềm nhanh hơn, và gặp phải ít vấn đề bảo mật hơn trước kia.”

Chia sẻ bài viết ngay

Nguồn bài viết : sdtimes.com