Ingezonden persbericht
Persbericht voor directe publicatie
Bedrijfszeker zakendoen met behulp van veilige applicaties
Testen van Applicatie Security
Hoofddorp, 28 Januari 2005. SCOS Software bv, als totaal leverancier van Internet Security, levert een unieke oplossing voor Applicatie Security: Holodeck van Security Innovation. Software van Security Innovation richt zich op het meest moeilijke onderdeel van de IT security - die van de applicatielaag.
Holodeck is een revolutionair hulpmiddel om zeker te stellen dat applicaties veilig en betrouwbaar zijn en door de meest uitgebreide hoeveelheid tests en scenario's zijn gegaan - welke onmogelijk met de hand getest kunnen worden of door het gebruik van welk geautomatiseerd testhulpmiddel danook. Holodeck kan als een stand-alone betrouwbaarheidstesthulpmiddel worden gebruikt of met de reeds aanwezige geautomatiseerde testkaders worden gecombineerd om de kans van het vinden van fouten te verhogen. Holodeck is ideaal voor het testen van high-end betrouwbaarheids toepassingen die langdurig ononderbroken beschikbaar moeten zijn en voor ervaren testers die de security fundamenten van hun applicaties moeten doorgronden.
Applicatie Security Boeken
Om de mogelijkheden van Applicatie Security verder te bestuderen levert SCOS een aantal unieke boeken van Security Innovation. Deze beschrijven de beste security concepten en zoals Michael Howard, Microsoft co-author van Writing Secure Code schrijft: 'You don't have to use the techniques outlined in this book; but if you don't, the hackers will!'
Voor Holodeck is een brede belangstelling vooral daar waar fouten direct fatale gevolgen kunnen hebben zoals bij medische instellingen, lucht- en ruimtevaart en militaire instituten, maar ook indirect zoals bij banken, financiële instellingen en de overheid.
Voor inlichtingen:
Security Innovation
Holodeck
SCOS Software bv
info@scos.nl
SCOS Software bv
Polarisavenue 53
2132 JH HOOFDDORP
tel. 023 5685615
Tav redactie:
Bijlage: korte beschrijving Holodeck
Indien u een evaluatie/test versie wilt ontvangen of meer informatie, beeldmateriaal etc. gaarne contact opnemen met:
drs.ing. Matt F. Hamburg RI
matt@scos.nl
tel. 023 5685615
Holodeck: Applicatie Security
Hoe kunnen ALLE testscenario's doorgenomen worden?
Een aantal jaren geleden werden fouten geconstateerd in honderden op te leveren softwareproducten waarbij de meeste van deze fouten niet afgevangen hadden kunnen worden. Waarom? Omdat de situaties waar de fouten in optraden nooit deel uit maakten van het testplan, dat typisch alleen het testen in normale omstandigheden onderzoekt. Als conclusie van deze studie werd besloten om een hulpmiddel te ontwikkelen dat vòòr een oplevering wel deze fouten afvangt. Gezien de beperkte mogelijkheden welke testers ter beschikking stonden, was een revolutionaire benadering nodig - één die het testen van de verborgen of moeilijk bereikbare takken in de applicatielogica en van de fout-afhandeling toestond. Eén dus die in staat is om omgevingen te creëeren waar toepassingen verkeerde acties doen en toepassingen dwingen om in foutencondities terecht te komen. Hiertoe werd door Security Innovation Holodeck ontwikkeld.
Grenzen van geautomatiseerde testhulpmiddelen.
Moeilijk te creëeren testomgevingen zoals "out of memory", "invalid input/reply", en "corrupt registry entries" welke ervoor zorgen dat toepassingen zich onvoorspelbaar gedragen kunnen door de bestaande geautomatiseerde testhulpmiddelen niet worden afgedwongen - zij testen de toepassing alleen in een "normale" omgeving en negeren de grenscondities waar juist veel fouten voorkomen. Deze testhulpmiddelen zijn bijzonder duur en slechts goed voor één soort testen: betrouwbaarheid, functionaliteit, belasting/overbelasting, enz. Veel van deze gereedschappen vereisen toegang tot de broncode of werken in "schone" omgevingen. Een ander punt is dat wanneer een toepassing getest wordt met conventionele geautomatiseerde testhulpmiddelen, deze beslagleggen op het volledige systeem omdat zij beperkt zijn tot het testen van de toepassing als deel van het bestaande, totale systeem. Met Holodeck is de broncode niet nodig, geen behoefte aan speciale versies en kunnen toepassingen in een werkende productieomgevingen getest worden, omdat het alleen de toepassing in onderzoek treft - niet de rest van het systeem. Wanneer Holodeck gebruikt wordt om voor een toepassing het geheugen te beperken, dan blijft de rest van het systeem in tact - het beïnvloedt slechts de betreffende toepassing, dus niet het gehele systeem.
Tenslotte, het probleem "kan niet worden gereproduceerd" is nog steeds groot bij de meeste geautomatiseerde testhulpmiddelen, maar bestaat niet bij Holodeck. Omdat Holodeck alle system- en API-calls van een toepassing onderschept, biedt het de mogelijkheid om interacties op een laag-niveau en netwerk pakketten te onderzoeken en kan het eenvoudig fout-genererende gebeurtenissen reproduceren. Wanneer een toepassing vastloopt, maakt Holodeck een "minidump" en verstrekt de exacte regel code en toestand van de machine waar de fout optrad.
Naadloze Integratie.
Holodeck's Holoscript en open API bieden een naadloze integratie om samen met andere testhulpmiddelen te werken. U kunt Holodeck zowel starten vanaf de commandoregel of aanroepen vanuit een bestaand script, als gebruiken tijdens het draaien van uw toepassing terwijl fouten programmatisch worden geforceerd - u kunt zelfs 'code coverage' en 'stress test' toelaten en deze opties aan laten staan terwijl de geautomatiseerde tests draaien tegen uw toepassing.
Andere voordelen om Holodeck samen met geautomatiseerde testhulpmiddelen te gebruiken zijn:
. Laat bestaande testscripts harder werken door deze onder Holodeck's "hostile environment simulator" automatisch te herstarten;
. Maximaliseert de investering in bestaande testscripts - meer toepassingen, minder tijd, meer gevonden fouten!
. Halveert de testtijd;
. Geen beperkingen meer in testgevallen door "kan niet gereproduceerd worden ";
. Verbetert de ROI van investeringen van bestaande geautomatiseerde testhulpmiddelen: Met Holodeck zullen bestaande testhulpmiddelen meer fouten vinden en van grotere waarde zijn voor een R&D-team en de bedrijfsdoelstelling, hogere foutendetectie, meer opbrengst van de investering in testhulpmiddelen en een kleinere kans dat fouten klanten bereiken;
. Ontdekt veel meer betrouwbaarheids- en veiligheidsfouten welke alleen optreden wanneer de vereiste programma-aanroepen niet uitgevoerd kunnen worden
. Voert bestaande testcripts uit in vijandige omgevingen, waardoor de kans op het ontdekken van fouten vele malen groter wordt;
. Zorgt ervoor dat een toepassing "veilig faalt";
. Bepaalt prioriteiten in ontwikkel- en testwerkzaamheden door de inzicht van het effect van gevonden fouten;
. Laat ervaren hoe een toepassing faalt onder vijandige omstandigheden - stel daarbij gebruikers gerust dat zij niet geconfronteerd zullen worden met de ernstige gevolgen van betrouwbaarheids- en veiligheidsfouten;
. Voert bestaande testcases uit binnen verschillende verwerkingsscenario's en zal daardoor exponentieel de toepassing van bestaande testscripts verbeteren zonder deze te hoeven herschrijven.