La solución basada en la nube ayuda a los desarrolladores a priorizar y solucionar rápidamente vulnerabilidades de código abierto dentro de los entornos DevSecOps.
Veracode, proveedor líder de seguridad de aplicaciones, ha anunciado su nueva solución de Análisis de Composición de Software (SCA), la única que ofrece tecnología de detección de métodos vulnerables y modelos de aprendizaje automático que identifica fallos que han sido solucionados a través de proyectos open source, pero que no han sido revelados a la Base de Datos Nacional de Vulnerabilidades de Estados Unidos (NVD, según sus siglas en inglés). Esta funcionalidad de método vulnerable no solo identifica qué aplicaciones tienen un componente sensible, sino que también reconoce si un atacante puede explotar o no el código, ahorrando tiempo de desarrollo al permitir a los desarrolladores priorizar las soluciones basadas en el riesgo y la explotabilidad.
La solución SCA de Veracode combina la corrección automática de vulnerabilidades con modelos de machine learning que detectan fallos de seguridad no reportados en bibliotecas de código abierto en tiempo casi real, creando la oferta de SCA más completa del mercado. Esta herramienta está totalmente integrada en la plataforma Veracode, que lleva a cabo análisis a través de varios tipos de evaluación, incluidas SAST, DAST y pruebas de penetración. Veracode SCA permite a los equipos de desarrollo aprovechar el poder del open source para acelerar los ciclos de desarrollo sin introducir riesgos innecesarios o interferir con el proceso de desarrollo.
«Si bien el uso de código abierto podría considerarse el acelerador más importante en la historia del desarrollo de software, también trae consigo un número significativo de vulnerabilidades de seguridad que han sido responsables de algunas de las brechas de seguridad más importantes del mundo», comenta Dave Gruber, analista senior en Enterprise Strategy Group. “A medida que los desarrolladores se esfuerzan por entregar aplicaciones seguras al ritmo de las necesidades de los negocios, necesitan herramientas diseñadas desde cero para su uso en entornos DevSecOps de rápido movimiento. La nueva oferta, que aprovecha al máximo la tecnología SourceClear adquirida el año pasado, transforma las capacidades SCA de Veracode, permitiendo a los desarrolladores priorizar, categorizar y remediar rápidamente los problemas relacionados con el código abierto en un entorno de bajo ruido. Como parte de la plataforma más amplia de Veracode, los equipos de desarrollo ahora pueden aprovechar una plataforma común para proteger las aplicaciones mientras miden la efectividad de su programa general AppSec».
El uso de bibliotecas de código abierto permite a las organizaciones satisfacer las demandas de los tiempos de desarrollo, pero con más de 5 millones de bibliotecas de código abierto disponibles hoy y un estimado de medio billón de bibliotecas más que se lanzarán en la próxima década, las organizaciones se enfrentan a una mayor exposición a vulnerabilidades. Veracode SCA limita el riesgo asociado con la integración de componentes de software open source en aplicaciones como parte del proceso DevSecOps. Proporciona visibilidad en todas las bibliotecas directas e indirectas en uso, identifica vulnerabilidades conocidas y desconocidas en ellas, y muestra cómo los fallos afectan a las aplicaciones sin ralentizar la velocidad de desarrollo. La solución tiene una amplia cobertura de lenguaje, compatible con Java, JavaScript, Python, Ruby, PHP, Node.js, Go, Objective C, Swift, C / C ++, .NET y Scala.
De acuerdo con el informe sobre el Estado de la seguridad de software vol. 9, el 87,5% de las aplicaciones Java contienen al menos un componente vulnerable y las organizaciones tardan un promedio de 140 días en solucionar el 50% de los fallos. La comunidad de código abierto encuentra muchas vulnerabilidades y las repara sin que la información sea revelada, lo que significa que las empresas no son conscientes de la necesidad de actualizar o parchear, lo que agrava el problema. La base de datos de vulnerabilidades de la que es propietaria Veracode, creada mediante el aprendizaje automático y la minería de datos, rastrea los repositorios de proyectos de código abierto continuamente y extrae información de vulnerabilidades para crear una base de datos que tiene un 40% más de vulnerabilidades en comparación a si solo se usa la información de NVD. Veracode SCA también busca paquetes maliciosos que han plantado intencionalmente vulnerabilidades y que actúan como puertas traseras o plan B.
Al escanear las bibliotecas de código abierto con una base de datos aumentada por el machine learning, las empresas obtienen la ventaja de identificar vulnerabilidades que de otro modo no se habrían detectado. Sin embargo, encontrar fallos es solo la mitad del desafío en la seguridad de las aplicaciones. Veracode SCA proporciona información de reparación prescriptiva automatizada que permite a las organizaciones incrementar las tasas de mejora rápidamente y reducir el riesgo.
“Los desarrolladores dependen de componentes de código abierto en su software y pueden, sin saberlo, introducir fallos de seguridad y riesgos en las aplicaciones. La realidad es que identificar el riesgo de código abierto y catalogar manualmente las bibliotecas no es viable», explica Chris Wysopal, CTO y cofundador de Veracode. «Veracode SCA es único en ofrecer la potencia y la velocidad del aprendizaje automático para minar repositorios de código abierto, la flexibilidad de una solución basada en SaaS para escalar con las necesidades del negocio y soluciones automáticas para adaptarse al ritmo de las prácticas DevSecOps».
Veracode SCA ofrece generación automática de solicitudes de extracción y una guía de corrección para acelerar las reparaciones, ayudando así a los desarrolladores a trabajar en la solución más rápido y eliminando vulnerabilidades de código abierto que podrían conducir a brechas de datos catastróficas sin costosos procesos manuales. Los clientes pueden aprovechar estos beneficios directamente en su entorno nativo a través de integraciones constantes.
Los clientes tienen la capacidad de cargar aplicaciones utilizando un escaneo basado en agentes o un escaneo de carga de aplicaciones, lo que brinda flexibilidad para que los desarrolladores integren el escaneo en su código a través del agente en su proyecto o carguen el código para escanearlo tanto con Veracode Static Analysis como con Veracode SCA. Veracode SCA también puede vincular los resultados de escaneo de aplicaciones con escaneos basados en agentes para simplificar el cumplimiento de las políticas y las necesidades de informes internos.