این حملات شبیه سازی شده بر روی یک برنامه از سمت کاربر برای یافتن آسیب پذیری ها اجرا می شود. این به عنوان یک “پراکسی man-in-the-middle” کار می کند، بنابراین پیام های ارسال شده بین مرورگر و برنامه وب را رهگیری و بررسی می کند. هنگامی که نتایج غیر قابل انتظار ظاهر می شوند، می توان از آنها برای محدود کردن و شناسایی آسیب پذیری های امنیتی استفاده کرد. ZAP قبلاً به عنوان یکی از برنامههای اسکن Jit مورد استفاده قرار میگرفت.
او ادامه داد، “مطمئنا، توسعه دهندگان می توانند همه این موارد را خودشان با منبع باز تنظیم کنند. اما نکته اینجاست که ابزارهای زیادی وجود دارد و شما باید در مورد آنها یاد بگیرید و آنها را پیکربندی کنید.
در Jit، Bennetts به توسعه Zap منبع باز ادامه خواهد داد. آ تست امنیت برنامه پویا (DAST) ابزار تست نفوذ، ZAP رویکردی عملگرایانه برای یافتن مشکلات امنیتی دارد.
ملامد افزود: «چشم انداز Jit به طور خلاصه این است که به توسعه دهندگان دسترسی مناسب و به موقع به دانش و ابزارهای مورد نیاز برای ایمن سازی برنامه هایی را که در کل پشته برنامه می سازند، فراهم کند، و در عین حال توسعه را تسریع می کند. روند.”
همچنین: Chainguard Wolfi را منتشر کرد، یک “undistribution” لینوکس
بنتز می توانست جای دیگری برود. او گفت: “من در نظر داشتم با بسیاری از شرکتها با محصولات اختصاصی کار کنم، اما قلب من به منبع باز تعلق دارد. خوشبختانه، در Jit تیم درخشانی پیدا کردم که عمیقاً به منبع باز و توانمندسازی توسعهدهندگان برای ساخت برنامههای امن متعهد هستند.”
به گفته دیوید ملامد، مدیر ارشد فناوری جیت، نکته این است که «رهبران امنیتی ابزارهای بیشتری را سریعتر از آنچه تیمهایشان میتوانند پیادهسازی کنند، اضافه میکنند، آنها را تنظیم و پیکربندی میکنند که ریسک و کارایی هزینهها از همسویی خارج میشود». راه حل؟ DevSecOps را پیاده سازی کنید که در آن امنیت محصول به عنوان یک سرویس به آن ارائه می شود خط لوله CI/CD، با یک طرح امنیتی محصول که در ادامه آمده است Git اصول.”
داستان های مرتبط:
منبع: https://www.zdnet.com/article/jit-and-zap-improving-programming-security/#ftag=RSSbaffb68
یا، با Jit، راهحل ترکیبی با کاربری آسانی را ارائه میکنیم که شرکتها را آسانتر میکند تا وارد هیئت مدیره شوند و خوب پیش بروند، اینها چیزهایی هستند که ما به آنها نیاز داریم؛ آنها را دریافت کنیم، آنها را تنظیم کنیم، آنها را تنظیم کنیم، و آنها را اجرا کنید تا نتایج را با همه چیز در یک مکان دریافت کنید.”
در مورد خود ZAP، Bennets گفت که او و بقیه تیم توسعهدهنده سخت روی نسخه بعدی کار میکنند. این شامل یک پشته شبکه سریعتر و بهبود یافته است که می تواند با پروتکل های مدرن مانند HTTP/2. عنکبوتهای آن، که برای کاوش برنامهها استفاده میشوند، با برنامههای وب بیشتری نیز بهتر کار میکنند و شامل قابلیت کار با رابطهای برنامهنویسی برنامه (API) میشوند. این نسخه بعدی اواخر امسال عرضه خواهد شد.
او در مصاحبهای در روز پنجشنبه گفت، جایی که بنتز ZAP را مناسب میداند، این است: “چالشهای موجود در برنامههای کاربردی وب مدرن این است که برای محافظت از آنها باید چیزهای زیادی را درک کنید. ابزارهای امنیتی کد بیش از حد ذخیره شدهاند، ما باید اینها را ترکیب کنیم. ابزارهایی برای ارائه تصویری کامل از آنچه باید برای ایمن سازی آنها انجام شود.”
جیت، یک شرکت امنیتی برنامه نویسی استارتاپی، آرزو دارد که یک قدرت امنیتی برتر باشد. برای کمک به تحقق این رویاها، جیت اخیراً Simon Bennetts، بنیانگذار محبوب ترین اسکنر امنیتی برنامه های وب در جهان را استخدام کرد. پروژه امنیتی برنامه وب (OWASP) Zed Attack Proxy (ZAP).