IBM vil finne feilene

I sommer kjøpte IBM selskapet Watchfire som har utviklet testverktøyet AppScan, som deretter ble lagt inn under IBM-merkevaren Rational. Nå er en ny versjon 7.7 lansert. IBM har lagt til nye skanneverktøy, Scan Expert, som skal gjøre brukere med liten erfaring med testverktøy i stand til å gjennomføre fulle tester av web-applikasjoner.

Den nye versjonen skal også være utstyrt med bedre muligheter til å teste ut feil som oppstår ved bruk av web 2.0-teknikker og –teknologi, som AJAX og for så vidt Flash. Den økte populariteten til Web 2.0-teknikker, gjerne i hendene på relativt uerfarne programmerere, er etter hvert blitt en stadig større kilde til sikkerhetsfeil.

State Inducer er en ny funksjonalitet som skal gjøre det mulig for utviklere å teste prosesser med flere steg som kjører inne i individuelle applikasjoner, som handlevogn, skjemaer, reservasjoner og andre interaktive elementer. Før bruk av State Inducer må hver komponent testes individuelt i AppScan, slik at State Inducer «lærer seg» de forskjellige delene av applikasjonen.

En trussel som skal ha fått voksende oppmerksomhet blant crackere er cross site request forgery. Dette er en slektning av cross site scripting og en måte å angripe brukere på ved å narre dem til å laste en web-side med skadelig innhold, tilsvarende slik cross site scripting er blitt benyttet, eller et vellykket phishing-angrep.

Ved å bruke denne teknikken kan kriminelle misbruke identiteten til ofrene sine og bruke rettighetene deres til å få tilgang til nettbanker og andre systemer. I noen tilfeller er slik skadelig kode blitt plassert på selve web-stedet med slike svakheter.

I tillegg til en rekke oppdateringer av grensesnittet til AppScan, har IBM også utvidet rapporteringsmulighetene. Det er egne moduler som tester at applikasjonen er i henhold til krav fra myndigheter og forordninger. Blant rapporteringsnyhetene er det også egne Word-maler som har til hensikt å gjøre rapportene lesbare også for ikke-tekniske medarbeidere.

IBM hevder, og er ikke alene om det, at det er viktig å teste så tidlig som mulig i utviklingsprosessen. Og at det ikke bare er utviklerne selv som må teste. Bare arbeidsbyrden tilsier det. Budskapet fra IBM, både uttalt og slik de tilpasser verktøyene sine, er at programkode bør sikres når den skrives og testes med en gang.

Testverktøy har vært vanskelige å selge inn tidligere, blant annet fordi det har vært vanskelig å vise at en slik investering lønner seg. Nå er det imidlertid lagt så mange krav til applikasjoner og sikkerhet at det fort kan bli veldig dyrt å ikke være i samsvar, for eksempel med kredittkortselskapenes PCI.

Ikke alt kan automatiseres, som for eksempel autentiseringsløsninger med CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), hvor brukeren blir presentert for et bilde av bokstaver og tall som må tastes inn. Eller løsninger basert på USB-dongler, smartkort, engangspassord og annet. AppScan vil i slike tilfeller stoppe opp og varsle at manuell inngripen må til.

AppScan kan tilpasses ved hjelp av et eget SDK (Software Development Kit), som også ligger til grunn for AppScan eXtensions Framework hvor du kan tilpasse og utvide testverktøyet. Det finnes en egen portal for eXtensions Framework hvor tilleggsmoduler blir lagt ut som åpen kildekode.