Công cụ rà quét source code MICRO FOCUS Fortify Static Code Analyzer (SCA) là trợ thử đắc lực của đội ngũ An toàn thông tin – P. Kỹ thuật (Viettel IDC) nhờ công cụ này việc phát hiện và kiểm tra lỗ hổng phần mềm trở nên tinh gọn, khoa học hơn.
Từ trước đến nay, việc thực hiện review lỗ hổng đều làm bằng tay, điều này gây nên một số khó khăn trong việc kiểm tra lỗ hổng đang tồn tại trong mã nguồn, tốn nhiều thời gian để kiểm tra. Bên cạnh đó những người có kinh nghiệm, hiểu biết sâu rộng về các loại mã nguồn (Vd Java, .net, C, C++,..) phải liên tục cập nhật lỗ hổng thường xuyên để kiến thức review theo tiêu chuẩn OWASP, FISMA, SANS.. và người có đủ kinh nghiệm, kỹ năng như thế rất ít, dẫn đến còn tồn lại nhiều lỗ hổng không được review.
Team An toàn thông tin review kết quả sau khi scan.
Do vậy, đội ngũ An toàn thông tin (ATTT) đã sớm ứng dụng công cụ (SCA) vào hoạt động phát hiện lỗ hổng. Nhờ công cụ này, sản phẩm được cập nhật những loại mẫu lỗ hổng mới nhất, tiết kiệm được thời gian, và sức người trong việc review mã nguồn, phát hiện được những lỗ hổng đang tồn tại với nhiều loại mã nguồn khác nhau, đưa ra phân tích nguyên nhân và hướng dẫn fix lỗ hổng , code sao cho đúng không bị khai thác, báo cáo từ tổng quan đến chi tiết, giao diện dễ nhìn cho người review cũng như DEV.
Trong quá trình chuyển đổi số, công cụ ( SCA) giúp hệ thống an toàn hơn, đảm bảo hệ thống khi phát triển trong quá trình chuyển đổi không có lỗ hổng để có thể bị khai thác theo dạng code của web hay ứng dụng trong quá trình dev lập trình để chuyển đổi.
Công cụ phát hiện lỗ hổng mạnh mẽ
(SCA) sử dụng nhiều thuật toán và kỹ thuật nhằm đảm bảo an toàn cho mã nguồn để thực hiện phân tích mã nguồn ứng dụng đối với các điểm yếu an ninh có thể khai thác được, từ đó nhận diện và đưa ra cách khắc phục các điểm yếu. Fortify SCA xác định và chỉ ra được nguyên nhân gốc rễ của các điểm yếu trong mã nguồn, đánh giá, phân loại các các rủi ro tương ứng với các điểm yếu an ninh và cung cấp hướng dẫn chi tiết cho người lập trình để làm sao có thể khắc phục các điểm yếu này một cách hiệu quả và tốn ít thời gian nhất..
Màn hình kết quả sau khi scan.
“Đa di năng” về sở trường
Đầu tiên phải kể đến công cụ (SCA) xác định được gốc rễ nguyên nhân các điểm yếu an ninh của phần mềm, chỉ ra dòng, file chứa lỗ hổng, đưa ra giải thích và khuyến nghị khắc phục cho người lập trình qua đó phân tích nhiều ngôn ngữ lập trình bao gồm cả Java, Net, C/C++, Objective-C, Android, PHP, COBOL và SAP giúp đội ngũ ATTT phát hiện các điểm yếu an ninh và các điểm yếu này được chia thành các danh mục khác nhau đối với mỗi ngôn ngữ lập trình.
Tiếp đó là tính năng hiển thị kết quả dò quét trên giao diện tổng hợp ở dạng biểu đồ tóm tắt. Đồng thời cho phép người quản trị thực hiện phân tích sâu thông tin chi tiết ngay trên biểu đồ, hiển thị các vấn đề sau khi dò quét theo các nhóm như: Critical, High, Medium, Low, mang đến giải pháp phải có khả năng tích hợp với các môi trường phát triển tích hợp (IDE) như Eclipse, Visual Studio, Jdeveloper, IntelliJ để thực hiện phân tích mã nguồn.
Cuối cùng, công cụ SCA cung cấp sẵn các mẫu báo cáo kiểm tra khả năng tuân thủ theo một số tiêu chuẩn như: PCI DSS Compliance (Application Security Requirements), OWASP Top 10, OWASP Mobile Top 10, FISMA Compliance: FIPS 200, DISA STIG, CWE/SANS Top 25, cho phép tạo báo cáo theo các định dạng PDF, HTML, DOC
Như vậy, bảo mật an toàn thông tin là một trong những yếu tố quan trọng hơn bao giờ hết đối với doanh nghiệp trong thời đại chuyển đổi số. Bằng phương pháp thực tế và áp dụng những công cụ tốt nhất, Viettel IDC luôn xác định nhu cầu và mục tiêu trong tương lai để lựa chọn phương pháp bảo mật tối ưu, phù hợp với mình
