Dayıoğlu Günlüğü

OWASP Türkiye, Çankaya Üniversitesi ile birlikte Web Güvenliği Günleri, Ankara başlığı ile bir etkinlik düzenliyor. Kurulduğu günden bu yana hem bireysel hem de Pro-G olarak desteklediğimiz OWASP-TR ile bu etkinlikte de birlikteyiz. Pro-G olarak etkinliğe sponsor olduk ve ben etkinlikte yazılım geliştirme sürecinde güvenlik testleri ile ilgili bir sunum yapacağım.

Geliştirme sürecinde testin anlam ve öneminden, kapalı kod ve açık kod inceleme/test imkanlarından ve araçlarından söz etmeye çalışacağım. Etkinliğe ilişkin programa buradan erişebilirsiniz.

Otomatikleştirilmiş kaynak kod güvenlik denetimi projeleri hız kazanıyor. Fortify ile Temmuz ayında başlattığımız işbirliği sonrasında yazılım güvenliği ile ilgili Pro-G hizmetlerine yeni bir tanesini ekledik; yazılım kaynak kodlarının statik analizi yoluyla güvenlik problemlerinin tespit edilmesi.

Görev kritik yazılımları olan, içeride ya da dış kaynaklı yazılım geliştiren hemen her kuruluş kendilerine bir kaç dakika içerisinde yazılımları içerisindeki güvenlik problemlerini belgeleyen ve iyileştirme önerileri sağlayan otomatikleştirilmiş kaynak kod güvenlik denetimi hizmetlerimize büyük bir sempati ile yaklaşıyor. Yalnızca bir kaç saat içerisinde kuruluşlara ait kaynak kodları inceleyip sonuçlarını değerlendirmeye başladığımızda hemen her kuruluş sonuçları hayretle karşılıyor. Çok kabaca, Java ve .Net uygulamaları için her 1000 satırda 20-25 problemli nokta bulunuyor. Bu araç yokken elle-gözle yaptığımız kaynak kod güvenlik incelemelerini düşündükçe gülümsüyorum, eskiden çok verimsiz ve maliyetli süreç bugün ne hale geldi…