به گزارش بازار، در جریان رونمایی از سامانه توسکا، «نقش راهبردی DevSecOps در توسعه امن نرمافزار» از سوی سمیه دولتنژاد، مدیر فنی واحد امنیت گروه فناوری اطلاعات و ارتباطات مهیمن ارائه شد. توسکا مخفف «توسعه کد امن» است و با هدف ارتقای وضعیت امنیتی نرمافزارها و کمک به تیمهای توسعه برای شناسایی بهموقع مشکلات امنیتی طراحی شده است.
سمیه دولتنژاد، مدیر فنی واحد امنیت شرکت مهیمن، در اینباره میگوید که گزارشهای منتشر شده نشان میدهد که ۷۴ درصد آسیبپذیریهای نرمافزاری در سطح کد، ۲۱ درصد در سطح پیکربندی و ۵ درصد مربوط به محیط هستند. بنابراین توسکا با امنسازی کدها میتواند بخش عمدهای از آسیبپذیریهای حساس و بحرانی را شناسایی کند.
او با اشاره به اینکه شرکت مهیمن همواره دغدغه امنیت محصولات خود را داشته است، افزود که نقش امنیت از نگاه تیمهای توسعه گاهی بهعنوان یک سرعتگیر در فرآیند توسعه دیده میشود، اما توسکا تلاش میکند از همان ابتدا مشکلات امنیتی را در مرحله پیادهسازی شناسایی و به تیمهای توسعه اطلاع دهد.دولتنژاد توضیح داد که اسکنهای امنیتی توسکا با دریافت کد منبع انجام میشوند و گزارشهای آسیبپذیری در اختیار تیمهای توسعه قرار میگیرد. تیمها با استفاده از این گزارشها میتوانند مشکلات امنیتی را سریعتر شناسایی و رفع کنند.
از جمله قابلیتهای توسکا میتوان به شناسایی نشت اطلاعات محرمانه در کد، اسکن پکیجها برای شناسایی پکیجهای آلوده و آسیبپذیر، تحلیل ایستای آسیبپذیری در سطح کد و بررسی وضعیت امنیتی فایلهای پیکربندی زیرساخت اشاره کرد.
دولتنژاد تأکید کرد که آلودگی پکیجهای برنامهنویسی چالشی است که در سالهای اخیر بهشدت افزایش یافته است. در سال ۲۰۲۴ بیش از ۵۰۰ هزار پکیج آلوده در مخازن شناختهشده قرار گرفت و قربانیان بسیاری در سطح جهانی داشتند. توسکا قادر است در صورت مشاهده چنین مواردی، آنها را به سرعت به تیمهای توسعه اطلاع دهد.
دولتنژاد در ادامه گفت که طی سال گذشته فرآیند کدنویسی امن با استفاده از توسکا در محصولات مهیمن آغاز شده است. نتایج اولیه نشان میدهد که توسکا نسبت به نمونههای خارجی متنباز و تجاری عملکرد بهتری در شناسایی آسیبپذیریها داشته و حتی کد محصول توسکا نیز توسط توسکا ارزیابی شده است. نمونه مشابه خارجی وجود دارد، اما توسکا اولین محصول داخلی با چنین قابلیتهایی است. در نسخههای آینده قصد داریم از هوش مصنوعی برای شناسایی دقیق تر آسیبپذیریهایی استفاده کنیم که تحلیل ایستا قادر به شناسایی آنها نیست.
گفتنی است شرکت مهیمن تولیدکننده محصولات نرمافزاری است که با سازمانهای بزرگ حاکمیتی و غیرحاکمیتی همکاری دارد و محصولات متنوعی را نیز ارائه کرده است که بهعنوان ابزارهایی قدرتمند برای حل مسائل و چالشهای فناوری اطلاعات و ارتباطات در کشور استفاده میشوند.
نظر شما