لاس فيغاس — فعالية "بلاك هات" (الجناح رقم # 2428) – أعلنت اليوم شركة "فيراكود"، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات، عن تعزيز منصتها لأمن تطوير البرمجيات المستمر وإدخال تحسينات جوهرية على تجربة المطوّرين المتكاملة. وتشمل الميزات الجديدة عمليات تكامل موسعة لدعم تحليل تكوين البرمجيات (إس سي إيه) وقائمة مكوّنات البرمجيات (إس بي أو إم) وواجهة برمجة التطبيقات وتوفير دعم إضافيّ للغة وإطار العمل للتحليل الثابت، ما يُعزز قدرة المطوّرين على تأمين البرمجيات في بيئات عملهم.
وقال براين روش، الرئيس التنفيذي لشؤون المنتجات في "فيراكود" تعليقاً على هذه الخطوة: "غالباً ما يتمّ تجميع التطبيقات الحديثة عوضاً عن إنشائها من العدم. وتشكل الرموز البرمجية مفتوحة المصدر نسبة كبيرة من قواعد الرموز البرمجية التي يتم تدقيقها، فعلى سبيل المثال يتكوّن 97 في المائة من تطبيق ’جافا‘ نموذجي من مكتبات مفتوحة المصدر*، ما يزيد نسبة المخاطر الأمنية والحاجة إلى تحديد مخاطر سلسلة التوريد. وصُمّمت واجهة برمجة التطبيقات الخاصة بقائمة مكوّنات البرمجيات الخاصة بنا (إس بي أو إم إيه بيه آي) لتسهيل قيام المطورين بجرد قاعدة الرموز البرمجية الخاصة بهم، بما في ذلك مكونات الطرف الثالث، ما يسمح لهم بالتصرف بسرعة في حال ظهور ثغرات أمنية جديدة. ومنذ إطلاق منصتنا لأمن تطوير البرمجيات المستمر في مايو، قدّمنا إمكانات إضافية تلبي احتياجات المطورين في مكان عملهم: في بيئة المطورين المتكاملة ومستودع الرموز البرمجية وواجهة أسطر الأوامر. وصُمّمت هذه الابتكارات لدفع عملية الاعتماد من خلال جعل المنصة أكثر ملاءمة للمطوّرين".
تسهيل إجراءات التطوير والأمن والعمليات
تدعم منصة "فيراكود" أكثر من 100 لغة وإطار عمل، تشمل تلك الخاصة بتطوير التطبيقات الناشئة في السحابة واللغات القديمة المستخدمة مع الأصول القديمة، مثل لغة البرمجة "كوبول". وتمتلك المؤسسات الكبيرة تطبيقات بعدد لا يحصى من اللغات، ويؤدي امتلاك القدرة على نشر حل اختبار أمن مستمر عبرها إلى تبسيط العملية مع توفير نتائج متسقة. وحلّل أحدث بحث أجرته الشركة عن حالة أمن البرمجيات بنسخته الـ12 العيوب الأكثر شيوعاً حسب اللغة وكشف أن الخلل السائد في إحدى اللغات قد لا يشكل مصدر قلق بالنسبة إلى لغة أخرى. فعلى سبيل المثال، تعدّ البرمجة العابرة للمواقع (ثغرة "إكس إس إس ") الخلل الأكثر شيوعاً في لغة البرمجة "بيه إتش بيه" بنسبة 77 في المائة، ولكنها لا تأتي في المراتب العشرة الأولى بالنسبة للغة "سي ++"*. وبالإضافة إلى ذلك، تتغير العيوب باستمرار، ما يعني أنه حتى إذا لم يكن الخلل سائداً في لغة البرمجة، فما يزال يتعين على الممارسين اتخاذ خطوات فعالة لمنعه من التأثير على الرموز البرمجية الخاصة بهم. ونظراً لأن أساليب الإصلاح تختلف باختلاف الخلل ولغة البرمجة، فإن وجود مجموعة واسعة من الدعم اللغوي في مكان واحد يسهل وظائف المطورين من خلال توفير وقتهم للتركيز على الالتزام بمواعيد النشر الضيقة.
ويؤدي المسح المتكرر للرموز البرمجية من الطرف الأول والثالث إلى التخفيف من مخاطر الثغرات الأمنية مفتوحة مصدر، مثل "لوغ 4 جيه". وصمّمت "فيراكود" أدوات وخدمات جديدة تركز على المطورين لتسريع هذه العملية وتسهيلها، خاصةً مع توافر القدرة الإضافية لمسح مكتبة مملوكة لطرف ثالث.
وقال بيتر إيفانز، مدير قسم الهندسة في شركة "كاد بريسيجن جي تي تي إي" في هذا السياق: "وفّرت لنا ’فيراكود‘ منصةً كاملةً لبناء أدوات الأمن في خطوط التطوير الخاصة بنا، وساعدتنا على تنمية معرفتنا لمواصلة التحسن في المجال الأمني. وتُعدّ ’فيراكود‘ شركة ملائمة لاحتياجاتنا نظراً لقدرة منصتها على مسح رموز ’جافا‘ البرمجية في إطار عمل ’سبرينغ‘ ، المكان الذي نطوّر فيه برمجيتنا. وانتقلنا من مراجعة الرموز البرمجية إلى دمج عمليات المسح المستمرة في خطوط التطوير اليومية الخاصة بنا. ومع استمرار بروز التهديدات الأمنية، تزودنا ’فيراكود" بالأدوات اللازمة لتتبّع أحدث القواعد والتهديدات".
وتتضمّن أبرز تحديثات منصة أمن تطوير البرمجيات المستمر من "فيراكود" ما يلي:
قائمة مكوّنات البرمجيات لتحليل تكوين البرمجيات
• وبينما تدفع اللوائح الحكومية بالمعايير لتأمين سلاسل توريد البرمجيات، تزداد أهمية وجود قائمة مكوّنات البرمجيات للمؤسسات. وتمكّن واجهة برمجة التطبيقات الخاصة بقائمة مكوّنات البرمجيات من "فيراكود" في تحليل تكوين البرمجيات المطوّرين من إنشاء قائمة مكوّنات البرمجيات بسهولة في صيغة "سيكلون دي إكس جيسون"، واحدة من الصيغ المعتمدة للامتثال للأمر التنفيذي الأمريكي. ويُساعد ذلك في ضمان أن الرموز البرمجية التي يستخدمونها أو يبنونها خالية من الثغرات الأمنية.
بيئة المطوّرين المتكاملة وعمليات التكامل لصالح تحليل تكوين البرمجيات
في إطار سعيها لجعل أمن البرمجيات تجربة سلسة، تواصل "فيراكود" توفير عمليات تكامل تلبّي متطلبات المطوّرين في مكان عملهم.
• يحتوي ملحق "فيركودا أزور ديف أوبس" على ميزة "إس سي إيه فلو إمبورتر" الجديدة لنقل عيوب تحليل تكوين البرمجيات تلقائياً إلى تطبيق "أزور ديف أوبس بوردز" و"وورك آيتمز".
• يوفر ملحق "فيركودا فور فيجوال ستوديو كود"، الذي سيصدر قريباً، معلومات مفصلة عن الثغرات الأمنية ومخاطر الترخيص والإصدارات الموصى بها من المكتبات مفتوحة المصدر والتبعيات المتعدية بحيث يمكن للمطورين الاستجابة بسرعة لأي مخاطر.
دعم أطر العمل الموسعة واللغات للتحليل الثابت
• تلتزم الشركة بمواكبة أحدث اللغات والأطر التي يعمل بها المطورون، وإضافة دعم لبرامج "رايلز 7.0" و"روبي 3.x" و"بيه إتش بيه سيمفوني".
واختتم روش حديثه قائلاً: "بصفتنا شركةً رائدةً في مجال أمن التطبيقات، نحن في وضع فريد يمكننا من الجمع بين الخبرة منقطعة النظير وأحدث الابتكارات في مجال تطوير السحابة. وعلى عكس البائعين في أماكن العمل، فإن حل البرمجية كخدمة الخاص بنا مرن وقابل للتطوير، ما يعني أن العملاء مستعدون دائماً لتلبية الطلبات غير المتوقعة. وتوفّر منصتنا المدعومة بما يقرب من عقدين من البيانات التراكمية، مراجعات تاريخية تفاضلية مفصلة مقارنة بمعايير القطاع والأقران، وهو مستوى إدراكي وثيق الصلة بفرق القيادة ومجلس الإدارة. وتُوفّر منصتنا وقت المطورين من خلال تقديم نتائج دقيقة للغاية وتمكّنهم من العثور على الثغرات الأمنية وإصلاحها في دقائق، ما يعني أنه يمكنهم إرسال الرموز البرمجية بسرعة مع الثقة في أنها في موضع آمن".