Tương lai của an ninh ứng dụng

Việc hoạch định mua sắm này sẽ chất đầy danh mục công nghệ của HP được Công ty bắt đầu hình thành từ năm 2007 qua việc mua nhà sản xuất các thiết bị bảo vệ các ứng dụng web SPI Dynamics. Nhờ mua Fortify, HP có thể đề xuất cho khách hàng của mình dải công cụ phân tích ứng dụng tĩnh và động tương đương với của IBM. Những công cụ này đang được sử dụng để kiểm tra các ứng dụng tại các giai đoạn mã hoá và kiểm thử cũng như trong quá trình triển khai.

IBM và HP đã có hàng loạt bước tiến nhằm thành lập các gói công cụ bảo vệ ứng dụng cạnh tranh nhau. Những gói công cụ này hình thành ở cả hãng này hay hãng kia chủ yếu nhờ các vụ mua sắm. Ví dụ, việc mua SPI Dynamics của HP kéo theo việc IBM mua nhà sản xuất công cụ bảo vệ các ứng dụng web là Công ty Waterfire. Cả việc Công ty Fortify sẽ bị HP mua cũng do Công ty IBM mới mua Công ty đối thủ của Fortify là Ounce Labs.

“Những vụ mua sắm của 2 công ty CNTT lớn nhất đã khẳng định một phân khúc thị trường quan trọng” - Joshua Korman, nhà phân tích của Công ty The 451 Group và là nhà sáng lập nhóm RuggedSoftware.org - nhóm từng quyết tâm thu hút các chuyên gia có thâm niên lập trình bảo mật - phát biểu. Mặc dù các cuộc tấn công của hacker ở mức ứng dụng ngày càng thường xuyên hơn, các công ty vẫn tiếp tục chi ngân sách cho an ninh bảo mật chủ yếu ở mức độ môi trường mạng. Trong 50 tỷ USD thế giới đã đầu tư cho lĩnh vực và dịch vụ an ninh trong năm vừa rồi, ở tầng bảo vệ các ứng dụng chỉ được khoảng 500 triệu USD đổ lại, theo một số phân tích.

Theo ông Korman, chuyện này là do các lãnh đạo CNTT không nhận thức tốt tính cần thiết của việc bảo vệ các ứng dụng. “Phần mềm mang tính chất của vật liệu hạ tầng như xi măng và thép vậy. Nhưng nó tuyệt nhiên không có độ tin cậy đặc trưng cho những vật liệu này - Korman giải thích một cách hình tượng - Văn hoá được hình thành trong sự phát triển phần mềm là nhắm vào tính hiệu quả của các ứng dụng chứ chưa phải là nhắm vào tính an toàn của chúng”. Còn một nguyên nhân nữa, theo đó, các công cụ bảo vệ ứng dụng chậm được doanh nghiệp đưa vào sử dụng là sự chưa thấu hiểu cách thức sử dụng chúng hiệu quả nhất. Một số nhà sản xuất tuyên bố, những công cụ này phải được sử dụng để quét từng dòng code với mục đích xác định vị trí dễ tổn thương trong giai đoạn phát triển ứng dụng. Những chuyên gia khác thì khẳng định tốt nhất là sử dụng chúng để phát hiện và sửa lỗi trong code thừa hành.

Korman cho rằng ứng dụng các công cụ tương ứng của các công ty IBM và HP sẽ thu hút những nguồn đầu tư lớn vào thị trường này: “Mới chỉ có chưa nhiều công ty sẵn sàng khai thác công nghệ của các nhà sản xuất nhỏ trên thị trường vừa mới xuất hiện”. “Có cơ hội cho mọi công nghệ - Peter Lindstrom, nhà phân tích của Công ty Spire Security nói - Cả công cụ tĩnh lẫn công cụ tương tác đều có ý nghĩa”. Những khoản đầu tư của IBM và HP vào lĩnh vực bảo vệ các ứng dụng nhấn mạnh tính quan trọng mà các nhà sản xuất đang gán cho đầu ra của thị trường này - Dave Peterson, Giám đốc tiếp thị Công ty Coverity, một nhà phát triển công cụ bảo vệ khác chia sẻ - “Chúng tôi đánh giá các bước đi như thế khẳng định nhiệm vụ đảm bảo tính toàn vẹn của phần mềm đã có vị trí trong vòng đời của sản phẩm”.