Намерение Hewlett-Packard купить разработчика ПО защиты приложений привлекла внимание рынка к становящемуся все более важным, но пока недостаточно освоенному сегменту рынка информационной безопасности.
Небольшая компания Fortify располагает набором технологий для тестирования приложений на всех этапах их разработки вплоть до внедрения.
Планируемое приобретение дополнит портфель технологий HP, который та начала формировать в 2007 году с покупкой производителя средств защиты веб-приложений SPI Dynamics. Благодаря покупке Fortify в HP смогут предложить своим клиентам диапазон инструментов статического и динамического анализа приложений, сопоставимый с решениями IBM. Эти инструменты используются для проверки приложений на этапах кодирования и тестирования, а также на стадии развертывания.
IBM и HP уже предприняли целый ряд шагов для создания конкурирующих пакетов средств защиты приложений. Формируются они и у той и у другой компании главным образом посредством покупок. Так, например, покупка SPI Dynamics компанией HP последовала за приобретением корпорацией IBM производителя средств защиты веб-приложений, компании Waterfire. И Fortify будет приобретена вслед за приобретением IBM конкурента Fortify, компании Ounce Labs.
Эти приобретения двух крупнейших ИТ-компаний придают большую убедительность важному сегменту рынка, отметил Джошуа Корман, аналитик компании The 451 Group и сооснователь группы RuggedSoftware.org, которая ставит своей задачей привлекать внимание специалистов к практикам безопасного кодирования.
Несмотря на то что хакерские атаки на уровне приложений становятся все более частыми, компании продолжают расходовать свои бюджеты, выделяемые на информационную безопасность, на проекты защиты на сетевом уровне. Из 50 млрд долл., которые корпоративный сектор, по некоторым оценкам, в прошлом году выделил на продукты и услуги безопасности, на средства защиты приложений приходится едва ли не 500 млн долл.
По мнению Кормана, это происходит оттого, что ИТ-руководители недостаточно хорошо осознают необходимость защиты приложений. «Программное обеспечение обретает характер инфраструктурного материала, как цемент и сталь. Но оно отнюдь не обладает присущей этим материалам надежностью, — образно пояснил Корман. — Сложившаяся культура разработки сосредоточена на эффективности приложений, но не на их безопасности».
Еще одной причиной, по которой средства защиты приложений медленно осваиваются предприятиями, является недопонимание, как наиболее эффективно их использовать. Некоторые производители заявляют, что эти инструменты должны использоваться для сканирования каждой строчки кода с целью выявления уязвимостей на этапе разработки приложений. Другие утверждают, что лучше всего использовать их для выявления и исправления проблем в исполняемом коде.
Корман предположил, что предложение соответствующих инструментов такими компаниями, как HP и IBM, привлечет на этот рынок больший объем инвестиций: «Только очень немногие готовы осваивать технологии небольших производителей на рынке, который еще только формируется».
«Суть заявлений IBM и HP сводится к тому, что есть время и место для всех технологий, — сказал Пит Линдстрем, аналитик компании Spire Security. — Большое значение имеют и интерактивные, и статические инструменты».
Инвестиции HP и IBM в средства защиты приложений подчеркивают важность, которую эти производители придают выходу в данный сектор, считает Дейв Петерсон, директор по маркетингу компании Coverity, еще одного разработчика инструментария защиты Coverity. «Мы расцениваем эти шаги как подтверждение того, что задача обеспечения целостности программ получила свое самостоятельное место в жизненном цикле ПО».