Компанія Attack Killer (входить у ГК InfoWatch) представила методологію вбудовування сканерів коду в процес розробки програмного забезпечення — Security Development Lifecycle (SDL).

Методологія вбудовування безпеки в процес розробки ПЗ, пропонована Attack Killer, відрізняється від звичайної практики, коли виявлення і усунення несправностей виділяється в окремий етап і збільшує термін до виведення нового продукту на ринок. Запропонована методологія SDL передбачає використання сканера коду Appercut Custom Code Scanner та інструментів комплексної безпеки Attack Killer на 7 основних етапах розробки: навчання, формування вимог, проектування, реалізація, верифікація, випуск та реагування. У компанії запевняють, що запропонований метод дозволить надійно захистити продукти, незалежно від використовуваної розробником моделі Software Development Life Cycle (SDLC).

«У рамках нашої методології ми виходимо з принципу, що в процесі розробки додаток повинно бути захищено від розкриття інформації, зміни і руйнування; повинна забезпечуватися коректна аутентифікація і керування правами користувачів, а також конфігураціями, сеансами і помилками», — підкреслив директор з розвитку продуктів Attack Killer Михайло Бубній.

Appercut Custom Code Scanner являє собою систему автоматизованого контролю вихідного коду бізнес-додатків на відповідність вимогам щодо безпечної розробки програмного забезпечення. Продукт інтегрується в середовище розробки, перевіряє якість коду і знаходить вразливості ще на етапі програмування. В основі аналізу вихідних кодів лежить постійно оновлювана база знань про принципи і методи безпечної розробки. За підсумками обробки коду рішення генерує звіти про знайдені вразливості і формує завдання для програмістів. Комплекс підтримує більше 20 мов програмування і всі вимоги міжнародних стандартів PCI DSS, а також кращі практики CERT, OWASP і CWE, рекомендації SDLC, у тому числі виробників платформ 1С, SAP, Oracle, Microsoft.