این حملات شبیه سازی شده بر روی یک برنامه از سمت کاربر برای یافتن آسیب پذیری ها اجرا می شود. این به عنوان یک “پراکسی man-in-the-middle” کار می کند، بنابراین پیام های ارسال شده بین مرورگر و برنامه وب را رهگیری و بررسی می کند. هنگامی که نتایج غیر قابل انتظار ظاهر می شوند، می توان از آنها برای محدود کردن و شناسایی آسیب پذیری های امنیتی استفاده کرد. ZAP قبلاً به عنوان یکی از برنامههای اسکن Jit مورد استفاده قرار میگرفت.
همچنین: مایکروسافت Azure CTO می گوید زمان آن رسیده است که استفاده از C و C++ را برای پروژه های جدید متوقف کنیم
او ادامه داد، “مطمئنا، توسعه دهندگان می توانند همه این موارد را خودشان با منبع باز تنظیم کنند. اما نکته اینجاست که ابزارهای زیادی وجود دارد و شما باید در مورد آنها یاد بگیرید و آنها را پیکربندی کنید.
در Jit، Bennetts به توسعه Zap منبع باز ادامه خواهد داد. آ تست امنیت برنامه پویا (DAST) ابزار تست نفوذ، ZAP رویکردی عملگرایانه برای یافتن مشکلات امنیتی دارد.
همچنین: Chainguard Wolfi را منتشر کرد، یک “undistribution” لینوکس
بنتز می توانست جای دیگری برود. او گفت: “من در نظر داشتم با بسیاری از شرکتها با محصولات اختصاصی کار کنم، اما قلب من به منبع باز تعلق دارد. خوشبختانه، در Jit تیم درخشانی پیدا کردم که عمیقاً به منبع باز و توانمندسازی توسعهدهندگان برای ساخت برنامههای امن متعهد هستند.”
به گفته دیوید ملامد، مدیر ارشد فناوری جیت، نکته این است که «رهبران امنیتی ابزارهای بیشتری را سریعتر از آنچه تیمهایشان میتوانند پیادهسازی کنند، اضافه میکنند، آنها را تنظیم و پیکربندی میکنند که ریسک و کارایی هزینهها از همسویی خارج میشود». راه حل؟ DevSecOps را پیاده سازی کنید که در آن امنیت محصول به عنوان یک سرویس به آن ارائه می شود خط لوله CI/CD، با یک طرح امنیتی محصول که در ادامه آمده است Git اصول.”
منبع: https://www.zdnet.com/article/jit-and-zap-improving-programming-security/#ftag=RSSbaffb68
یا، با Jit، راهحل ترکیبی با کاربری آسانی را ارائه میکنیم که شرکتها را آسانتر میکند تا وارد هیئت مدیره شوند و خوب پیش بروند، اینها چیزهایی هستند که ما به آنها نیاز داریم؛ آنها را دریافت کنیم، آنها را تنظیم کنیم، آنها را تنظیم کنیم، و آنها را اجرا کنید تا نتایج را با همه چیز در یک مکان دریافت کنید.”
در مورد خود ZAP، Bennets گفت که او و بقیه تیم توسعهدهنده سخت روی نسخه بعدی کار میکنند. این شامل یک پشته شبکه سریعتر و بهبود یافته است که می تواند با پروتکل های مدرن مانند HTTP/2. عنکبوتهای آن، که برای کاوش برنامهها استفاده میشوند، با برنامههای وب بیشتری نیز بهتر کار میکنند و شامل قابلیت کار با رابطهای برنامهنویسی برنامه (API) میشوند. این نسخه بعدی اواخر امسال عرضه خواهد شد.
او در مصاحبهای در روز پنجشنبه گفت، جایی که بنتز ZAP را مناسب میداند، این است: “چالشهای موجود در برنامههای کاربردی وب مدرن این است که برای محافظت از آنها باید چیزهای زیادی را درک کنید. ابزارهای امنیتی کد بیش از حد ذخیره شدهاند، ما باید اینها را ترکیب کنیم. ابزارهایی برای ارائه تصویری کامل از آنچه باید برای ایمن سازی آنها انجام شود.”
جیت، یک شرکت امنیتی برنامه نویسی استارتاپی، آرزو دارد که یک قدرت امنیتی برتر باشد. برای کمک به تحقق این رویاها، جیت اخیراً Simon Bennetts، بنیانگذار محبوب ترین اسکنر امنیتی برنامه های وب در جهان را استخدام کرد. پروژه امنیتی برنامه وب (OWASP) Zed Attack Proxy (ZAP).
حالا یک لحظه هم فکر نکنید که جیت قصد دارد Zap را به خودی خود به یک برنامه تجاری تبدیل کند. برنامه Jit، همانطور که از ابتدا بوده است، ارائه “امنیت به موقع” برای توسعه دهندگان است. این کار را با ارائه یک چارچوب ارکستراسیون، معماری پلاگین که بهترین ابزارهای امنیتی منبع باز مانند وابستگی OWASP را بررسی کنید، npm-adit، GoSec، Gitleaks، Trivesو، البته، Zap را به یک گردش کار توسعهدهنده ساده و منسجم تبدیل کنید.
