Az alkalmazásfejlesztés forradalmában az alkalmazásbiztonság a fontolva haladást képviseli, Bár magát a fejlesztést a mesterséges intelligencia – mindenekelőtt az agentic AI – új dimenzióba helyezte, a biztonság klasszikus eszköztára nem vesztette érvényességét DevSecOps környezetben sem.

Az egyik legfejlettebb alkalmazásbiztonsági platformot szállító Black Duck vezérigazgatója, Jason Schmitt az idei RSA konferencián a Dark Reading podcastjában ennek a fontolva haladásnak a jegyében evolúcióként írta le az alkalmazásbiztonság történetét.

Amikor az alkalmazásbiztonsági iparág megszületett, főleg az manuális kódellenőrzés automatizálásáról szólt. Majd jött a cloud computing, ami már megkövetelte, hogy a biztonságot integráljuk a DevOps munkafolyamatokba. Ma pedig az MI-támogatta fejlesztés korát éljük, amikor az MI ágensek írják és egyben ellenőrzik is kódot. Schmitt utóbbit olyan, a hagyományos eszközök mellett alkalmazható additív technológiának tekinti, amellyel javítható a hatékonysága például a penetrációs teszteknek, a red-teamingnak vagy az üzleti logika értékelésének.

De továbbra sem lehet lemondani bizonyos manuális ellenőrzésekről. Az MI-támogatás egyik alapja ugyanis a hatalmas, szabadon elérhető nyílt forráskódú kódbázis. Az MI ágens ezek felhasználásával önállóan előállítja a kódot, majd – megfelelő „promptolással” – elvégezi a alapvető kódbiztonsági vizsgálatokat, és önállóan javítja az azonosított hibákat. A nyílt forráskódú elemek azonban olyan függőségeket, licenckorlátozásokat is hoznak a kódba, melyek ellenőrzését továbbra is hagyományos eszközökkel kell elvégezni, magyarázza Werner Obring, a Black Duk-portfólió hazai disztribútora, a Clico Hungary cloud security architektje. Még nincsenek ugyanis olyan eszközök, melyek licencmegfelelőség szempontjából is képesek lennének teljes megbízhatósággal validálni egy alkalmazást.

Gondolkodjunk AppSec keretrendszerben!

Az alkalmazásfejlesztés Obring által is vázolta átalakulása az alkalmazásbiztonság holisztikusabb megközelítését követeli meg. A Black Duck ezt egy AppSec Frameworkkel valósítja meg (egyes dokumentumokban Modern AppSec vagy True Scale Application Security Framework néven is lehet találkozni vele). A keretrendszer arra ad lehetőséget, hogy a biztonságot anélkül integrálhassuk a teljes szoftverfejlesztési életciklusba, hogy lassítaná a fejlesztés folyamatát. Az alkalmazásbiztonság skálázására összpontosít, hogy mind az ember által generált, mind a mesterséges intelligencia által generált kódot kezelje különböző elemzési eljárások kombinálásával.

Az AppSec Framework a fejlesztési folyamat minden területet lefed, ami a biztonság szempontjából kritikus, és egyben képes kezelni a fejlesztők és az MI ügynökök generálta kódot. Erősíti a szoftverellátási lánc biztonságát azzal is, hogy támogatja a nyílt forráskódú komponensek, licencek és sebezhetőségek mélyreható vizsgálatát. Része a kódszintű, statikus tesztelés (SAST) – amire kifejezetten a fejlesztőknek kínálják a Coverity nevű eszközt –, valamint az API-biztonságot is magában foglaló dinamikus és interaktív tesztelést (DAST/IAST). A keretrendszer része az Application Security Posture Management (ASPM), amely a teljes alkalmazásportfólióhoz biztosít központosított policy-managementet, összehangolja a biztonsági eszközöket, és kezeli a kockázatokat.

Mivel a keretrendszer közvetlenül integrálódik a CI/CD (Continuous Integration/Continuous Deployment) folyamatokba, a vizsgálati szakasz nem akasztja meg a szállítás menetét. Sebezhetőségi hatáselemzéssel priorizálja a kockázatokat, így mindig a legkritikusabb sérülékenységeket lehet javítani. Emellett a megfelelőségi kockázatok kezelésében is segíti szabályozott ágazatokban dolgozó szervezeteket.

Nyolc éve az élen

A Gartner az AppSec tesztelési megoldások piacát elemző Magic Quadrantja legutóbbi kiadásában azt állítja, hogy az ún. ’shitf-left’ már megvalósul, azaz az alkalmazásbiztonsági tesztelés szervesen integrálódott a szoftverfejlesztési életciklusba a fejlesztési pipeline elindításától az éles üzemig, és az is általános, hogy a forráskód-kezelésbe beépítik a kockázatkezelési kontrollokat.

A Gartner Magic Quadrantja szerint az AppSec megoldások piacát nyolc éve a 2024 októberétől önálló cégként működő Black Duckot vezeti. Az elemző cég a Black Duck legfőbb erősségét a széles körű alkalmazásbiztonsági tesztelési képességeiben látja. Bár a cég kínál többféle dedikált megoldást is (Coverity, Black Duck SCA, Seeker stb), egyik legfontosabb terméke a Polaris SaaS platform, amely egyesíti a statikus és dinamikus alkalmazásteszteket SCA (Software Composition Analysis) és ASPM képességekkel. Emellett van két MI-alapú kódbiztonsági asszisztense is, a Code Sight és a Black Duck Assist. A két asszisztens nemcsak a tesztelést támogatja, hanem a hibajavításra is ad javaslatokat. Ezeknek a javaslatoknak a jó minőségét jelzi, hogy az átlagosnál magasabb arányban fogadják el a fejlesztők

A Gartner értékelésében külön kiemelte, hogy a Software Risk Manager az ASPM-jével átfogó képet ad az alkalmazáskockázatokról és a megfelelőségkezelésről, valamint hogy ezekhez az elemzéseihez third-party eszközök eredményeit is felhasználja.

Werner Obring mindezt így összegezte: a Black Duck alkalmazásbiztonsági megoldásai nemcsak a problémát mutatják meg, hanem hatékony javítási javaslatot is adnak.

A Black Duck termékek magyarországi disztribútora a Clico Hungary.