Nova ferramenta expõe falhas de segurança do cloud computing

A Fortify Software descobriu uma forma de as empresas interessadas em transferir as suas aplicações para um fornecedor de serviços cloud se certificarem do nível de segurança da nova plataforma.

 A ferramenta, denominada Readiness Scorecard, é na verdade um add-on gratuito do produto de segurança da companhia, o Fortify 360, e do serviço online Fortify on Demand, e consegue mostrar às empresas uma classificação de vulnerabilidade do software como se este estivesse a ser executado em ambiente cloud. Mas as vulnerabilidades existentes no código do software não são as mesmas quer a aplicação esteja a ser executada na nuvem ou não? De acordo com o cientista chefe da Fortify e um dos seus fundadores, Brian Chess, não. Na sua opinião, os ambientes cloud vêm questionar uma série de presunções acerca do código que apenas são razoáveis de ter na altura em que a aplicação é escrita. As aplicações podem comunicar umas com as outras através de protocolos inseguros, enquanto a infra-estrutura, como os servidores DNS, pode, no modelo cloud, ser partilhada sem controlo por parte do departamento de TI. Resumindo, na óptica deste responsável, “quando as aplicações são colocadas na nuvem, o seu perfil de risco muda”.
O objectivo da Readiness Scorecard é dar às equipas de TI uma lista das correcções importantes e menos importantes que são necessárias de realizar antes de as aplicações poderem ser executadas em plataformas cloud, para assim diminuir os riscos.

“à semelhança de uma vacina que tomamos contra potenciais infecções, os fornecedores cloud podem usar o Fortify 360 ou o Fortify on Demand para garantirem que o código malicioso ou deficiente introduzido por um ou mais clientes não contamina toda a sua plataforma”, diz Brian Chess. Os clientes actuais da Fortify podem ter acesso ao Scorecard de forma gratuita, a partir do final deste trimestre, enquanto os novos clientes contarão com esta funcionalidade já integrada nas suas licenças. A Fortify tem vindo repetidamente a alertar para os problemas de segurança inerentes ao cloud computing, tendo já feito o mesmo em relação ao código criado em outsourcing.

 




Deixe um comentário

O seu email não será publicado