Jit و ZAP: بهبود امنیت برنامه نویسی

این حملات شبیه سازی شده بر روی یک برنامه از سمت کاربر برای یافتن آسیب پذیری ها اجرا می شود. این به عنوان یک “پراکسی man-in-the-middle” کار می کند، بنابراین پیام های ارسال شده بین مرورگر و برنامه وب را رهگیری و بررسی می کند. هنگامی که نتایج غیر قابل انتظار ظاهر می شوند، می توان از آنها برای محدود کردن و شناسایی آسیب پذیری های امنیتی استفاده کرد. ZAP قبلاً به عنوان یکی از برنامه‌های اسکن Jit مورد استفاده قرار می‌گرفت.

همچنین: مایکروسافت Azure CTO می گوید زمان آن رسیده است که استفاده از C و C++ را برای پروژه های جدید متوقف کنیم

سیمون بنتز، بنیانگذار ZAP

سایمون بنتز

او ادامه داد، “مطمئنا، توسعه دهندگان می توانند همه این موارد را خودشان با منبع باز تنظیم کنند. اما نکته اینجاست که ابزارهای زیادی وجود دارد و شما باید در مورد آنها یاد بگیرید و آنها را پیکربندی کنید.

در Jit، Bennetts به توسعه Zap منبع باز ادامه خواهد داد. آ تست امنیت برنامه پویا (DAST) ابزار تست نفوذ، ZAP رویکردی عملگرایانه برای یافتن مشکلات امنیتی دارد.

ملامد افزود: «چشم انداز Jit به طور خلاصه این است که به توسعه دهندگان دسترسی مناسب و به موقع به دانش و ابزارهای مورد نیاز برای ایمن سازی برنامه هایی را که در کل پشته برنامه می سازند، فراهم کند، و در عین حال توسعه را تسریع می کند. روند.”

همچنین: Chainguard Wolfi را منتشر کرد، یک “undistribution” لینوکس

بنتز می توانست جای دیگری برود. او گفت: “من در نظر داشتم با بسیاری از شرکت‌ها با محصولات اختصاصی کار کنم، اما قلب من به منبع باز تعلق دارد. خوشبختانه، در Jit تیم درخشانی پیدا کردم که عمیقاً به منبع باز و توانمندسازی توسعه‌دهندگان برای ساخت برنامه‌های امن متعهد هستند.”

به گفته دیوید ملامد، مدیر ارشد فناوری جیت، نکته این است که «رهبران امنیتی ابزارهای بیشتری را سریع‌تر از آنچه تیم‌هایشان می‌توانند پیاده‌سازی کنند، اضافه می‌کنند، آن‌ها را تنظیم و پیکربندی می‌کنند که ریسک و کارایی هزینه‌ها از همسویی خارج می‌شود». راه حل؟ DevSecOps را پیاده سازی کنید که در آن امنیت محصول به عنوان یک سرویس به آن ارائه می شود خط لوله CI/CD، با یک طرح امنیتی محصول که در ادامه آمده است Git اصول.”

داستان های مرتبط:


منبع: https://www.zdnet.com/article/jit-and-zap-improving-programming-security/#ftag=RSSbaffb68

یا، با Jit، راه‌حل ترکیبی با کاربری آسانی را ارائه می‌کنیم که شرکت‌ها را آسان‌تر می‌کند تا وارد هیئت مدیره شوند و خوب پیش بروند، اینها چیزهایی هستند که ما به آن‌ها نیاز داریم؛ آنها را دریافت کنیم، آنها را تنظیم کنیم، آنها را تنظیم کنیم، و آنها را اجرا کنید تا نتایج را با همه چیز در یک مکان دریافت کنید.”

در مورد خود ZAP، Bennets گفت که او و بقیه تیم توسعه‌دهنده سخت روی نسخه بعدی کار می‌کنند. این شامل یک پشته شبکه سریعتر و بهبود یافته است که می تواند با پروتکل های مدرن مانند HTTP/2. عنکبوت‌های آن، که برای کاوش برنامه‌ها استفاده می‌شوند، با برنامه‌های وب بیشتری نیز بهتر کار می‌کنند و شامل قابلیت کار با رابط‌های برنامه‌نویسی برنامه (API) می‌شوند. این نسخه بعدی اواخر امسال عرضه خواهد شد.

او در مصاحبه‌ای در روز پنجشنبه گفت، جایی که بنتز ZAP را مناسب می‌داند، این است: “چالش‌های موجود در برنامه‌های کاربردی وب مدرن این است که برای محافظت از آنها باید چیزهای زیادی را درک کنید. ابزارهای امنیتی کد بیش از حد ذخیره شده‌اند، ما باید اینها را ترکیب کنیم. ابزارهایی برای ارائه تصویری کامل از آنچه باید برای ایمن سازی آنها انجام شود.”

جیت، یک شرکت امنیتی برنامه نویسی استارتاپی، آرزو دارد که یک قدرت امنیتی برتر باشد. برای کمک به تحقق این رویاها، جیت اخیراً Simon Bennetts، بنیانگذار محبوب ترین اسکنر امنیتی برنامه های وب در جهان را استخدام کرد. پروژه امنیتی برنامه وب (OWASP) Zed Attack Proxy (ZAP).

حالا یک لحظه هم فکر نکنید که جیت قصد دارد Zap را به خودی خود به یک برنامه تجاری تبدیل کند. برنامه Jit، همانطور که از ابتدا بوده است، ارائه “امنیت به موقع” برای توسعه دهندگان است. این کار را با ارائه یک چارچوب ارکستراسیون، معماری پلاگین که بهترین ابزارهای امنیتی منبع باز مانند وابستگی OWASP را بررسی کنید، npm-adit، GoSec، Gitleaks، Trivesو، البته، Zap را به یک گردش کار توسعه‌دهنده ساده و منسجم تبدیل کنید.

تجسم انتزاعی داده های وب و هک

iStockphoto/Getty Images