Начата работа над стандартным набором требований к защите приложений
На ежегодной конференции по безопасности Computer Security Institute?s Annual Security Conference четыре компании — F5 Networks, Imperva, NetContinuum и Teros — объявили о создании консорциума Application Security Consortium. Как сообщили представители компаний, группа займется разработкой минимальных стандартов для ПО, обеспечивающего информационную безопасность на уровне приложений, причем в основу будет положено независимое тестирование.
Одной из целей программы является улучшение защиты программных протоколов и прикладного кода в Web-приложениях. Участники консорциума приглашают других известных разработчиков подобного ПО, в частности компании Symantec, McAfee, Cisco Systems, Juniper Networks и Check Point Software Technologies, присоединиться к группе и передать свои программные продукты для тестирования в независимой лаборатории.
Члены ассоциации полагают, что без надежного критерия оценки качества программных продуктов их позиции перед клиентами слабы.
В результате работ с ICSA Labs группа вышла с предложением принятия пяти базовых требований к минимальным стандартам. По замыслу участников ассоциации сетевой экран, работающий на прикладном уровне, должен обнаруживать и блокировать входящую информацию, содержащую вредоносный код, предотвращать попытки вставить запрещенные типы данных в приложения, блокировать попытки модификации данных cookie, полей ввода в формах Web-приложений, а также не допускать несанкционированного изменения параметров URL.
«Мы полагаем, что это является хорошей основой для сравнения, даже если это всего лишь минимальный стандарт», — заявил Джен Банман, исполнительный директор компании NetContinuum.