Среди партнерских решений интегрируемых в Fortify есть решение от компании https://securecodewarrior.com/

Они занимаются созданием обучающих материалов, курсов, тренингов, соревнований по теме AppSec

Вот пример одного из их видео про SQL injection.

Больше видео можно посмотреть на их канале в Yotube. Конечно, курсы это гораздо больше чем просто видео с объяснением...зато их можно бесплатно использовать для работы с разработчиками. Да, важное замечание, сервис по обучению приобретается отдельно.

А вот как это выглядит совместно с Fortify. В IDE Security Assistant сразу показывает в каком участке кода возможно будет уязвимость, показывает описание, подсказывает как избежать ее, а так же предлагает пройти обучение по такому типу уязвимостей.

Вот ссылка на вебинар где рассказывается про этот сервис, как он работает, какие возможности предоставляет итд https://www.brighttalk.com/webcast/7477/326509

AppSec - это набор процессов, инструментов и практик, направленных на защиту приложений от угроз на протяжении всего жизненного цикла. Киберпреступники часто организованы, специализированы и мотивированы на поиск и использование уязвимостей в корпоративных приложениях для кражи данных, интеллектуальной собственности и конфиденциальной информации. Безопасность приложений может помочь организациям защитить все виды приложений (таких как устаревшие, настольные, веб, мобильные или микросервисы), используемых внутренними и внешними заинтересованными сторонами, включая клиентов, деловых партнеров и сотрудников.

Как подтверждено многочисленными исследованиями, большинство успешных взломов нацелены на уязвимости, которые могут использоваться на уровне приложений, что указывает на необходимость принятия мер в отношении безопасности приложений. Кроме того, количество и сложность приложений постоянно растет.

Организации по разработке программного обеспечения пытаются защитить приложения, которые они разрабатывают и разворачивают, по нескольким причинам. Во-первых, растущая зависимость от открытого исходного кода в качестве экономичной и экономящей время основы для разработки приложений требует от групп разработчиков тщательной проверки этого кода на наличие уязвимостей.

Во-вторых, при обнаружении уязвимости время, необходимое ответственной стороне для исправления и исправления уязвимого кода, представляет многочисленные проблемы для разработчиков и потребителей программного обеспечения. Время и затраты, связанные с исправлением небезопасного кода, побуждают самые опытные команды разработчиков как можно быстрее встраивать безопасность в свои приложения в течение жизненного цикла безопасной разработки (SDLC). Они признают, что самый простой способ избежать приложений - это не создавать их в первую очередь при разработке и создании кода.

AppSec Рессурсы

Для решения этих растущих потребностей и проблем TechBeacon выпустил Гид The 2019 TechBeacon Buyer’s Guide to Application Security.

Целью данного руководства является ответ на вопросы:

1. Какое поведение в программном сообществе требует практики обеспечения безопасности приложений?
2. Какие процессы и продукты позволяют снизить риски безопасности приложений?
3. На какие вопросы должны ответить группы разработчиков приложений, чтобы определить свои дальнейшие шаги по снижению риска безопасности приложений?

Наряду с этим чрезвычайно информативным руководством у нас также есть серия вебинаров, состоящая из трех частей, которая проведет вас по пути безопасности вашего приложения, с самого начала, вплоть до зрелой программы. Вы можете найти эти вебинары здесь:

Part 1: Getting Started with Seamless AppSec in One Day
Part 2: Fitting Security into your Software Lifecycle: Automation and Integration
Part 3: Optimizing and Maturing an AppSec Program

Хотя создание эффективной и действенной программы обеспечения безопасности приложений - это долгое путешествие, вы и ваша организация не должны путешествовать в одиночку. Micro Focus Fortify всегда здесь, чтобы помочь.

Про Micro Focus Fortify.

Fortify предлагает комплексные решения для обеспечения безопасности приложений с гибкостью локального тестирования для охвата всего жизненного цикла разработки программного обеспечения. Полная гарантия безопасности программного обеспечения с Fortify on Demand - наша защита приложений как сервиса - объединяет статическое, динамическое и мобильное тестирование AppSec с непрерывным мониторингом веб-приложений в работе.

Оригинал статьи находится вот тут: https://community.microfocus.com/t5/Security-Blog/Everything-you-need-to-know-to-build-an-AppSec-program/ba-p/2690564

"Мы тут провели пентест, вот критичные уязвимости, исправляйте, а то хрен вам а не релиз"

или

"Ваши 100500 уязвимостей найденных сканером, надо бы их исправить... пожалуйста"

В обоих случаях недопонимание, конфликты и задержки, а все потому, что ИБ не понимает и не должно понимать в программировании...а ещё их мало, а кодеров много

Вот подход, который, как мне кажется, позволяет выстроить продуктивно взаимодействие.

1. В каждой команде разработки назначается лидер по безопасности. Это может быть самый толковый разработчик, или самый ленивый, или самый странный... главное, что бы он понимал, как работает приложение и мог расставить приоритеты и оценить угрозы.
2. После анализа кода и выявления уязвимостей они попадают к лиду по ИБ, он проводит их оценку, отсеивает фолспозитивы и выделяет наиболее критичные.
3. PM назначает разработчиков ответственных за устранение уязвимостей.
4. Разработчик исправляет ошибки, повторное сканирование подтверждает корректность исправления.
5. Ответственный специалист ИБ отслеживает прогресс исправлений.

Таким образом, вокруг процесса разработки создаётся комьюнити любителей безопасности, их надо обучать, поддерживать, мотивировать.

Тогда ИБ остаётся подпитывать культуру DevSecOps, организовывать тренинги, учения, смотреть на графики исправлений и радоваться прогрессу...

Ну и, конечно, иногда истерично бегать с криками "Всё пропало..." при обнаружении во время пентест критичной уязвимости. Но, при сдвиге контролей ближе к разработчику, таких ситуаций будет все меньше, а Time2market все короче, авторитет ИБ все выше, а безопасности все больше.

Джон взрывается: «Ты кем себя возомнил? Я пытаюсь поддержать безопасность нашей организации и выставить аудиторов! Я…»

«Ну что же, спасибо вам за ни за что, мистер начальник по информационной безопасности, – прерывает его Эрик. – Как я только что увидел, организация выставила аудиторов и без тебя – ты не сделал для этого ничего. Ты как сантехник, который даже не курсе того, что он обслуживает самолет, не говоря уже о маршруте полета и конъюнктуре рынка авиакомпании».

Джон уже абсолютно белый, рот широко открыт.

Я уже готов вмешаться, когда Эрик встает и орет на Джона: «Мне нечего тебе сказать, пока ты не докажешь мне, что понимаешь, что совсем недавно произошло в этой комнате! Бизнес-сотрудники сумели отвести от нас гнев аудиторов, без какой бы то ни было помощи со стороны твоей команды. Вот что должно стать твоим руководящим принципом: ты выигрываешь, защищая организацию, а не нагружая IT-отдел бесполезной работой. И ты выигрываешь даже больше, когда ты можешь снять немного бесполезной работы с IT-отдела».

Затем он оборачивается ко мне и произносит: «Билл, ты, возможно, был прав. Вы, ребята, похоже полностью облажались с информационной безопасностью».

Я такого никогда не говорил. Я поворачиваюсь к Джону, намереваясь показать ему, что я понятия не имею, о чем сейчас сказал Эрик, но Джон меня даже не замечает. Он смотрит на Эрика с выражением безграничной ненависти на лице. Эрик обращается ко мне, показывая пальцем на Джона: «Этот парень вроде того руководителя по контролю качества, чья группа пишет миллионы новых тестов для продукта, который мы больше не производим, и затем засылает миллионы ложных отчетов о проблемах, которых просто не существует».

Джон качает головой, пораженный. Он говорит: «Как ты смеешь! Как потенциальный член правления я не могу поверить, что ты просишь нас рискнуть персональными данными наших клиентов и финансовой отчетностью!»

Эрик спокойно смотрит на Джона. «Ты что, и правда ничего не понимаешь? Самое худшее, что может случиться с Parts Unlimited, – это если она выйдет из игры совсем. А ты, похоже, прикладываешь все усилия, чтобы вывести ее из бизнеса даже быстрее со всеми своими сумасшедшими, нелогичными и мелочными требованиями. Ничего удивительного, что от тебя все отвернулись! Остальные, по крайней мере, пытаются помочь бизнесу остаться на плаву. Если бы это был эпизод из «Последнего героя», все бы уже давно проголосовали против тебя!»

Сейчас Эрик уже стоит прямо перед Джоном. «Джимми, Parts Unlimited хранит в своих системах данные кредитных карт четырех членов моей семьи. Мне нужно, чтобы ты защитил эти данные. Но ты никогда не сможешь защитить их, когда наш продукт уже запущен в работу. Ты должен защищать их, когда мы только создаем его».

Засовывая руки в карманы, он говорит более мягко: «Хочешь разобраться? Отправляйся на завод и найди начальника безопасности производства. Иди, поговори с ней, выясни, чего она пытается достичь и как она это делает».

a. ControlPoint. Решение, предназначенное для анализа различных типов неструктурированной информации: файловых серверов, почтовых систем, сред коллективной работы и многих других. Позволяет осуществить классификацию данных на основе их смысла, встроенных словарей и регулярных выражений. Также поддерживается автоматизация различных действий: копирование, удаление, тегирование, перенос в специализированные системы. https://www.microfocus.com/en-us/products/file-analysis-dark-data-cleanup/overview

Внутри решения встроена система IDOL, основанная на искусственном интеллекте платформа для распознавания смысла данных. Видел как она работает с видео, это просто магия. Поддерживает русский язык.

b.      Structured Data Manager. Решение, предназначенное для работы с базами данных. Поддерживаются различные схемы архивирования баз данных (из базы в базу, из базы в файл), а также обнаружение персональных и конфиденциальных данных в базах и их безопасный перенос в специализированные архивные системы. https://www.microfocus.com/en-us/products/application-database-archiving/overview

c.       Content Manager. Решение, позволяющее организовать в организации архив важной информации, управлять сроками хранения информации, автоматизировать процесс оцифровывания бумажных документов и их категоризацию в архиве. https://www.microfocus.com/en-us/products/enterprise-content-management/overview

d.      File Reporter. Решение, предоставляющее подробную отчетность по имеющимся в организации файловым ресурсам: кто к чему имеет доступ, какого типа файлы где хранятся, сколько дискового пространства занимают и т.д. https://www.microfocus.com/en-us/products/file-reporter/overview