Szoftverbiztonsági tanácsadás
Szakértői támogatás sebezhetőségek felfedezéséhez vagy elkerüléséhez
Szoftverbiztonsági tanácsadás
Szoftverbiztonsági tanácsadás tartalom lent a Page Builder területén módosítható, a Custom text felírat feletti ceruza ikonra kattintva.
Szoftverbiztonsági tanácsadás
Cégünk szakértői segítenek a fejleszői és a kiadási folyamatban helyesen kialakítani a felderítési eszközök használatát, a felfedezett sérülékenységek kezelését és elhárítását, a fenntartási időszakban az időszakos ellenőrzések automatizálását és jelentések, riasztások elkészítését megküldését.
Abban az esetben, ha szolgáltatásunk felkeltette érdeklődését, keressen bennünket valamelyik kommunkiációs csatornán.
Megelőzés a szoftverfejlesztés során
A gondos védekezést már a fejlesztés során el kell kezdeni. Szerencsére számos eszköz, módszer áll a rendelkezésünkre. Az egyik ilyen módszer pl. Java programozási nyelv esetén, hogy a fordítási folyamatban iktatunk be egy lépést mely rendszeresen ellenőrzi, hogy használunk-e olyan komponenst melynek találtak sebezhetőséget. Ilyen eszközök pl. az OWASP által készített Dependency Check illetve a másik meg a Snyk ellenőrző eszköz. Mindkét eszköz a project állományokat ellenőrzik, felderítik a függőségeket majd a talált komonenseket ellenőrzik a komponens sérülékenységi adatbázisban . Természetesen ezek az ellenőrzési eszközök rendelkezésünkre állnak más programozási nyelvekre és csomag kezelőkre (Node.js, npm, stb.).
A fenn említett eszközöknek vannak úgynevezett bővítményei számos fejlesztői környezethez - mint pl. a Eclipse vagy a Jetbrains fejlesztői eszközei. Így kényelmesen a fejlesztői környezetben is használhatjuk őket.
Abban az esetben ha sérülékenységet találtunk, mérlegelnünk kell, hogy az esetet hogyan kezeljük. Legjobb esetben, az adott komponensnek készült már egy újabb kiadása és egy verzió cserével orvosólható a helyzet. Ha ez nem kivitelezhető, akkor más módszerhez kell folyamodni - pl. hálózati portok elérésének korlátozásával hálózaton belül is.
Megelőzés a szoftver telepítés előtt
Abban az esetben ha a kifejlesztett alkalmazásunk önálló, nem függ semilyen külső szolgáltatástól (pl. adatbázis), akkor egyszerű a dolgunk, hisz a fejlesztés során ellenőriztünk mindent. Ellenben, ellenőrizni kell, hogy a függő szolgáltatásoknál fennáll-e bármiféle ismert sérülékenység. Ha igen, akkor természetesen kezelnünk kell a helyzetet.
Megelőzés docker konténerek esetében
Manapság a docker konténerek használatának elterjedésével maga a szoftver fejlesztés, tesztelés és telepítés hatékonyabbá és egyszerübbé vált. Úgyanakkor a docker konténerek számos veszély forrásai is lehetnek, ha nem megbízható forrásból szerezzük be. Általában minden szoftvergyártó (pl. Oracle, Redhat, Apache, stb.) elkészíti és hivatalosan közéteszi az alkalmazásait tartalmazó docker image-t. Természetesen vannak a gyártói verziótól eltérő kiadások is, ebben az esetben nagyon gondosan kell eljárnunk és ellenőrizni magát a dockerfile-t, hogy hogyan került megvalósításra - elkerülve a rejtett (trójai faló) sebezhetőséget.
Az előállított docker image-t is ellenőriznünk kell, mert lehet, hogy a szolgáltatás amit használni akarunk (pl. adatbázis szerver) az rendben van. de maga az operációs rendszer melyen az adott szolgáltatás fut tartalmazhat olyan komponenseket, melyek sebezhetőek.
Mind a dockerfile mind a kész docker image ellenőrzésére lehetőség van mint az OWASP mint a Snyk eszközeivel.
Védekezés a rendszer fenntartási időszakában
A fenntartási időszakban is rendszeresen ellenőrizni kell a használatban levő szoftverek és komonenseik sérülékenységét. Takarékossági szempontból hajlamosak vagyunk ezt a lépést mellőzni, hisz elegendő a rendszert üzemeltetni és adott esetben az fejlesztett szoftver frissíteni. Sajnos ez nagy hiba lenne, főleg abban az esetben, ha más szolgáltatásokat is használ az alkalmazás. Ugyanis idővel az operációs rendszer komponensei elavultá válnak, nem ritkán sérülékenység derül ki egyes elemekről. Emiatt ha nem frissítjük ezeket az docker image-okat, hanem csak fenntartjuk az állapotot, akkor rendszert veszélybe sodorjuk és hacker támadások könnyű célpontjává válhat.