• ThreadFix: Sistema de Gerenciamento e Visão Ampla Sobre Vulnerabilidades de Software

    Consideramos muito interessante, quando um produto que não estava mais sendo desenvolvido ativamente passa por um profundo processo de reformulação, e quando volta a atividade, apresenta grandes melhorias. Foi exatamente isso que aconteceu com o Vulnerability Manager. O sistema foi praticamente todo re-escrito, e está sendo desenvolvido de forma bastante ativa pelo Denim Group, sendo agora chamado de "ThreadFix".

    ThreadFix é uma ferramenta que trabalha com identificação de vulnerabilidades, além de ser um sistema de gerenciamento que reduz o tempo empregado na correção de fallhas encontradas nos programas de computador. Ele realiza a importação dos resultados de testes dinâmicos, estáticos e feitos em modo manual, para fornecer uma visão centralizada do software de segurança, possibilitando que as equipes de desenvolvimento façam os devidos ajustes nas aplicações.

    Esse utilitário pode ser considerado como um one-stop-shop para relatórios de vulnerabilidade a partir de scanners automatizados em aplicativos Web, scanners de código estático, scanners de rede, provedores de SaaS, threat models e os testes de penetração manuais. Não importa se você usar o HP Fortify, Microsoft CAT .NET, diversos serviços SaaS Veracode ou usar o livre e open source FindBugs. Todos estes scanners estáticos são suportados (suporte beta). Quando se trata de scanners dinâmicos, há uma lista incluindo quase todos os mais utilizados, dentre eles o Arachni, Burp Suite, HP WebInspect, IBM Rational AppScan, Mavituna Security Netsparker, OWASP Zed Proxy Attack, Skipfish, Tenable Nessus, Veracode, WhiteHat Sentinel e w3af.


    Saiba Mais:

    [1] PentestIT.com http://www.pentestit.com/threadfix-s...gement-system/
    [2] Code Google https://code.google.com/p/threadfix/downloads/list