Akıllı, bulut tabanlı programlanabilir web, mobil uygulama güvenlik testi Seçenekler, detaylı özellikler ve karşılaştırma tablosu.

Veracode ile bir bakışta yapabilecekleriniz

Veracode bulut servisi üzerinde statik kod analizi yapabilen bir uygulama güvenlik testi aracıdır.
Desktop, mobil ve web tabanlı uygulamalarınızı ister açık kod ister binary olarak güvenlik testine tabi tutabilirsiniz. Web tabanlı olarak çalışır. Kullanımı oldukça kolaydır.

Veracode: Web, Mobile, Desktop App Güvenliği

Bulut Tabanlı Platform

Sunucu gereksinimi, kurulumlar, network izinleri ile uğraşmanıza gerek yok, rol tabanlı erişim kontrolü ile güvenlik sağlayabilir, tüm testlerinizi çevrimiçi olarak yapabilirsiniz.

2015 Gartner Magic Quadrant Lideri

Uygulama Güvenliği Testi kategorisinde Veracode 2015'de de, üçüncü yıl üst üste lider ürün olarak seçilmiştir.

API Desteği

Veracode ile yazılım süreçlerinize entegre edeceğiniz sürekli kontrol ve test süreçleri sayesinde geliştirme boyunca kod kalitesi ve güvenliği sağlanacaktır.

Binary Statik Analiz SAST

Static Application Security Testing (SAST) ya da bir diğer ifadesiyle beyaz kutu testleri, kodu gerçekten çalıştırmadan, bilinen güvenlik açıklarını, derlenmiş kodun detaylı bir modelini çıkartarak yapar. Bunun için kodun kullandığı bellek alanlarından, kullanıcı, kod ve veri bölümlerine kadar inceleme gerçekleştirir.

Tarama kodun işletilmesi sürecindeki SQL injection, statik parola, XSS, alan taşırma gibi tüm zayıf noktaları tarar. Bu sayede kaynak kodunu almadığınız derlenmiş tüm kodları sisteminizde çalıştırmadan test edebilirsiniz. Bu metod dışarıya yaptırdığınız yazılımların güvenlik taraması için tam da aradığınız çözümdür.


Dinamik Analiz DAST

Dynamic Application Security Test (DAST) ya da kara kutu testleri, çalışan web uygulamalarınız içerisindeki yapısal zayıflıkları tanımlayarak, bir başkası bulmadan sizin bunları görmenizi sağlar.
Dinamik analiz, saldırganların kullandıkları yöntemleri dener. Tüm saldırı yüzeyini tarayarak, girdi alanlarını, formları ve alışveriş sepetlerini denetler.

dast

Web Uygulamaları tarama ve izleme

Web Uygulamaları Tarama & İzleme

Bir çok kuruluş binlerce web arayüzlü uygulama ile çalışır. Bu uygulamaların içerisinde istenmeyen pazarlama siteleri yada belirli bir içerikten türetilmiş ve gerçeğine benzetilmiş aldatma siteleri bulunabilir.

Veracode internet üzerindeki bu siteleri tarayarak size eklenen servisler ve açılan sitelerle ilgili detaylı güvenlik bilgileri hazırlar. Bu sayede kuruluşunuzda kullandığınız web uygulama güvenlik duvarları (WAFs) için güvenli site adreslerini tarayabilirsiniz. Veracode sizin için aynı anda binlerce siteyi tarayabilecek bir altyapı sağlar. Bu sayede bu sitelerdeki güvenlik açıklarına karşı korunursunuz.


Dış Kaynaklı Uygulama Güvenliği

Kurumsal uygulamaların neredeyse üçte ikisi dış kaynaklardan satın alınmaktadır. Bu uygulamaların çoğu ticari şirketlerin geliştirip sattığı uygulamalar olmakla birlikte, özel olarak geliştirtilen uygulamalar, SaaS olarak alınan uygulamalar ya da dış kaynaklı kütüphaneler de olabilir.

Veracode Vendor Application Security Testing Program (VAST) ile tüm bu uygulamaları ve servisleri test ederek, kullandığınız ya da geliştirdiğiniz kodların güvenli olduğundan emin olmanızı sağlar. Bu sayede sizden kaynaklı olmayan güvenlik açıklarından etkilenmeniz de önlenmiş olur.

Outsource, In House Application Security

Web Uygulamaları tarama ve izleme

Mobil Uygulama Güvenliği

Veracode mobil uygulamalarda davranış analizi ve dinamik çağrı analizi ile bir uygulamayı gerçek zamanlı olarak işleterek risklerini ortaya çıkarabilir. Bu testler sonrasında şüpheli coğrafi konum, izinsiz veri paylaşımı, yetkisiz olarak mobil cihaz üzerindeki verilere erişim gibi bir çok güvenlik tehdini modelleyebilir ve zararlı yazılımları tespit edebilir.

Özellikle çalışanlarının kendi cihazlarını kullanmalarına (BYOD) izin veren ya da verdiği mobil cihazlara yükleyeceği programları sınırlandırmayan kuruluşlar için çok tercih edilen bir taramadır.


Manuel Penetrasyon Testi Servisi

Geliştirdiğiniz kodlara insani deneyimlerin katıldığı bir güvenlik testidir. Veracode’un sağladığı test ortamlarına ek olarak saldırganların kullandığı ve uygulamaya özel güvenlik açıklarını dener.

Veracode bulut ortamında tek bir arayüzden farklı tekniklerle elde edilen sonuçları birleştirerek bunları toplu görmenizi sağlayacak bir ortam sunar. Bu sayede zafiyetleri tanımlayarak ölçülebilir risklerinizi görebilirsiniz.


Bulut Platformu

Veracode’un bulut platformu merkezi bir sistem üzerinden güvenlik politikanızı belirlemenize ve bu sayede hedefinize yönelik güvenlik taraması yapmanıza imkan sağlar. Güvenlik takımları oluşturarak tarama sonuçlarını takımlar içerisinde paylaşabilirsiniz.

Rol tabanlı erişim kontrolü (RBAC) ile; güvenlik analizleri ve KPI panelleri sayesinde tüm programların gelişimleri izlenebilir, otomatik olarak tabii olduğunuz regülasyonlara göre tesler yapıp raporlayabilirsiniz. API lar aracılığı ile de agile geliştirme süreçlerinize güvenlik testlerini ekleyebilirsiniz.

Statik Analiz Nasıl Çalışır?

how-binary-software-scanning-works

Güvenlik Testini Geçebilen Uygulamalar

Outsourced / Dışarıya Yaptırılan
7%
Açık Kaynak
42%
In House / İçeride Geliştirilen
46%
Ticari Uygulamalar
35%

Genel Başarı Yüzdesi
Tüm uygulamaların içinde

BAŞARISIZ
Kaynak: C|Net

Uygulama güvenliği uzmanı Veracode‘un yayınladığı rapor, şirketler tarafından kullanılan uygulamaların %50’nin üzerinde güvenlik tehlikesi içerdiğini gösteriyor.

Sanal sunucular üzerinde 18 aylık bir sürede 3000’e yakın uygulamayı inceleyen uzmanlar %57 oranında güvenlik zaafına rastladıklarını belirtiyor. Rapora göre her 10 web uygulamasından 8’i de finansal işlemlerde gerekli görülen OWASP (Open Web Application Security Project) adlı uygulama güvenliği standartlarında yetersiz kalıyor.

Şirketlerin 3. parti yazılımlara yöneldiğini ifade eden Veracode, bu tür yazılımların %81 oranında güvenlik tehditi taşıdığını aktarıyor. Başlıca tehditin twitter’ın da maruz kaldığı XSS (cross-site scripting) üzerinden geldiğini gösteren araştırmada .NET uygulamalarında anormal boyutta hatalara rastlandığının da altı çiziliyor.