Veracode робіць рэвалюцыю ў натыўнай бяспецы ў воблаку з дапамогай дынамічнага дуэта: DAST Essentials і Veracode GitHub App

Лідэр па бяспецы інтэлектуальнага праграмнага забеспячэння прадстаўляе ўніфікаваную абарону ад пагроз "праграма-воблака" на AWS re:Invent 2023

AWS re:Invent booth 270 – Veracode сёння абвясціла аб інавацыйных прадуктах для паляпшэння працы распрацоўшчыкаў. Новыя функцыі інтэгруюць бяспеку ў жыццёвы цыкл распрацоўкі праграмнага забеспячэння (SDLC) і стымулююць прыняцце метадаў бяспекі прыкладанняў у асяроддзях распрацоўшчыкаў.

Згодна з нядаўнім даследаваннем аналітычнай кампаніі IDC, 84% арганізацый кажуць, што прыняцце інструментаў бяспекі распрацоўшчыкамі з'яўляецца «самым важным патрабаваннем» або «надзвычай важным патрабаваннем» для прыняцця DevSecOps.¹ Апошнія інавацыі Veracode ridefiзавяршыць стратэгію абароны воблачных прыкладанняў на працягу ўсяго цыкла SDLC, умацоўваючы прыхільнасць кампаніі да забеспячэння адзінай платформы для комплекснага кіравання рызыкамі бяспекі.

Браян Рош, менеджэр па прадуктах Veracode, сказаў: «Распрацоўшчыкі знаходзяцца пад велізарным ціскам, каб хутка даць інавацыі, часта звяртаючыся да такіх механізмаў, як LLM і адкрыты зыходны код, каб паскорыць працэс. На жаль, гэтая стратэгія можа прывесці да небяспечнага выкарыстання кода і рашэнняў, якія ўзмацняюць рызыкі бяспекі, а не памяншаюць іх. Сітуацыя пагаршаецца існуючымі інструментамі бяспекі, якія ўскладняюць, а не спрашчаюць працэс для распрацоўшчыкаў.

Veracode вырашае гэтую праблему, прапаноўваючы ўніфікаваную платформу, якая не толькі дапамагае кантраляваць і зніжаць рызыкі, але і аптымізуе працоўныя працэсы распрацоўшчыкаў у сховішчах, IDE і воблаку. Прапануючы простыя ў выкарыстанні інструменты бяспекі для распрацоўшчыкаў, мы дазваляем арганізацыям ствараць бяспечнае праграмнае забеспячэнне хутчэй, пазбаўляючы ад неабходнасці ісці на кампраміс паміж бяспекай і хуткасцю».

Наступны рубеж: DAST Essentials

У свеце, дзе вэб-праграмы адказныя за 60% узломаў², а атакі на API рэзка ўзраслі да 137% у 2022 годзе, вельмі важна забяспечыць дастатковую абарону і пастаянны маніторынг воблачных праграм. Дынамічнае сканіраванне скануе сістэмы выканання ў рэжыме рэальнага часу з выкарыстаннем рэальных метадаў атакі ў бяспечным асяроддзі і можа выконвацца ў перадвытворчай асяроддзі ў SDLC. Традыцыйныя рашэнні недастатковыя і часта не забяспечваюць маштабаванасць і гібкасць, што патрабуецца расце арганізацыям. У адрозненне ад гэтага, DAST Essentials ад Veracode - гэта гнуткае рашэнне, якое дазваляе распрацоўшчыкам і камандам па бяспецы лёгка, хутка і ў маштабе ліквідаваць рызыкі.

"У той час як прадпрыемствы працягваюць змагацца з праблемай абароны пастаянна пашыраецца паверхні нападаў, патрэба ў комплексных рашэннях бясспрэчная. Збалансаванне хуткасці распрацоўкі з надзейнай бяспекай - гэта складаная задача, якой перашкаджае працаёмкасць рэгулярнага дынамічнага сканавання і разрыў паміж камандамі распрацоўшчыкаў і бяспекі», - сказала Кэці Нортан, старшы аналітык DevOps і DevSecOps у IDC. «Рашэнні, такія як Veracode DAST Essentials, якія інтэграваныя і памяншаюць трэнні для распрацоўшчыкаў, могуць дапамагчы паскорыць распрацоўку бяспечнага праграмнага забеспячэння, аб'яднаць намаганні па выпраўленні і дазволіць арганізацыям умацаваць сваю абарону ў свеце кібербяспекі, які развіваецца».

З адным з самых нізкіх паказчыкаў ілжывых спрацоўванняў, пра якія паведамляюць кліенты (менш за пяць працэнтаў), Veracode DAST Essentials адначасова скануе і тэстуе некалькі вэб-прыкладанняў і інтэрфейсаў праграмнага праграмавання (API). Даследаванне Veracode State of Software Security паказала, што 80% вэб-прыкладанняў маюць крытычныя ўразлівасці, якія можна вызначыць толькі з дапамогай дынамічнага сканавання. Гэта падкрэслівае крытычна важную ролю, якую адыгрывае DAST (дынамічнае тэсціраванне бяспекі прыкладанняў) у надзейнай праграме бяспекі прыкладанняў, гарантуючы, што арганізацыі могуць дакладна і хутка кіраваць уразлівасцямі, якія можна выкарыстоўваць у воблачным праграмным забеспячэнні.

Кампанія Manhattan Associates, якая займаецца распрацоўкай ланцужкоў паставак, выбрала партнёрства з Veracode для яе дынамічнай аналітыкі і праграмы бяспекі ў воблаку. Роб Томас, выканаўчы віцэ-прэзідэнт аддзела даследаванняў і распрацовак і воблачных аперацый у Manhattan Associates, сказаў: «Роля Veracode у галіны і той факт, што ён заснаваны на воблаку, азначае, што ён можа пастаянна пастаўляць новыя інавацыі. Наяўнасць воблачнага партнёра, такога як Veracode, дазваляе нам пастаянна сканаваць наша праграмнае забеспячэнне, таму мы можам быць упэўненыя ў рэжыме рэальнага часу, што наша рашэнне максімальна бяспечнае».

Паляпшэнне працоўных працэсаў распрацоўшчыкаў: прыкладанне Veracode GitHub

Veracode разумее праблемы, з якімі сутыкаюцца распрацоўшчыкі пры прыняцці мер бяспекі, заснаваных на воблаку, не парушаючы іх працоўныя працэсы. Прыкладанне Veracode GitHub палягчае прыняцце распрацоўшчыкам, дазваляючы камандам па бяспецы прыкладання аднаразова наладжваць і бесперашкодна падключаць распрацоўшчыка. Гэтая інтэграцыя дазваляе распрацоўшчыкам хутка выпраўляць памылкі кода ў асяроддзях, у якіх яны працуюць, з дапамогай адзінага інструмента для статычнага аналізу складу праграмнага забеспячэння (SCA) і сканавання бяспекі кантэйнера. У выніку адбываецца больш хуткі і плыўны працэс распрацоўкі, які не ставіць пад пагрозу бяспеку.

Палепшанае сканаванне рэпазітара

Першае сканіраванне воблачных прыкладанняў часта з'яўляецца ручным, складаным і расчаравальным працэсам. Прыкладанне Veracode GitHub спрашчае гэты працэс, забяспечваючы распрацоўнікам вынікі сканавання без расчаравання ў выбраным імі асяроддзі. Каманды DevOps могуць лёгка інтэграваць рэпазітары без ручной канфігурацыі, падтрымліваючы хуткасць распрацоўкі і аптымізуючы працэсы сканавання. Маючы магчымасць стандартызаваць канфігурацыі сканавання для сотняў рэпазітароў адным пстрычкай мышы, каманды DevOps могуць паменшыць клопаты і інтэграваць унутраную бяспеку ў воблаку значна раней у цыкле распрацоўкі.

Рош прыйшоў да высновы:Забеспячэнне бяспекі воблачных прыкладанняў ніколі не было больш важным. Распрацоўшчыкі збіраюць код гэтак жа, як і пішуць яго, што азначае, што нават самыя старанна распрацаваныя прыкладанні падвяргаюцца пагрозам. Каб абараніць ланцужок паставак праграмнага забеспячэння, сучасная распрацоўка прыкладанняў патрабуе змены парадыгмы ў практыцы бяспекі. Паколькі метады распрацоўкі размеркаваных воблачных прыкладанняў становяцца ўсё больш укаранёнымі, гэтыя апошнія інавацыі ў прадуктах дэманструюць, што Veracode прымае дынамічны характар ​​воблачнага ландшафту, каб ініцыяваць змены для забеспячэння нашай лічбавай будучыні».

Questo annuncio segue il lancio avvenuto a inizio anno di un motore di correzione alimentato dall’IA, Veracode Fix, che è stato nominato tra i 20 prodotti di cybersicurezza più popolari e tra i prodotti più interessanti da vedere alla RSA Conference 2023.

Прэзентацыя на AWS re:Invent

Пра даступнасць усіх гэтых магчымасцей на рынку будзе абвешчана на выставе AWS re:Invent 2023, якая пройдзе з 27 лістапада па 1 снежня ў Лас-Вегасе, штат Невада.

Visitate lo stand 270 a AWS re:Invent per conoscere meglio le innovazioni della piattaforma di sicurezza con software intelligente di Veracode, tra cui Veracode DAST Essentials, Veracode GitHub App e Veracode Fix.

BlogInnovazione.it