Veracode оголосила про інновації платформи для виявлення та уніфікації критичних ризиків
Veracode оголосила про інновації платформи для виявлення та уніфікації критичних ризиків
Veracode, світовий лідер у галузі управління ризиками додатків, оголосила про інновації платформи, які допоможуть організаціям виявляти, розставляти пріоритети та скорочувати борги щодо забезпечення безпеки на зростаючій поверхні атак. . Універсальний з'єднувач і теплова карта безпеки додатків, дві нові можливості Longbow на базі Veracode, дозволяють організаціям швидко об'єднувати дані з будь-якого джерела та бачити програми, які роблять найбільший внесок у ризик. Водночас універсальний з'єднувач та теплова карта безпеки додатків забезпечують чітку оперативну інформацію про активи та проблеми, дозволяючи розставляти пріоритети дій щодо усунення з урахуванням кількісного ризику.
"Поєднання зростаючого боргу з безпеки, що розширюється поверхні атак, яка стає більш вразливою через генеративний штучний інтелект, і величезної кількості попереджень про безпеку ускладнює для організацій розуміння того, яким ризикам додатків слід приділяти пріоритетну увагу", - сказав Кріс Енг, головний науковий співробітник Veracode. «Насправді наше дослідження стану безпеки програмного забезпечення показує, що багато організацій більше уваги приділяють усуненню недоліків низького ступеня серйозності, ніж критичних недоліків. Лідерам у сфері безпеки потрібні технології, які дозволять їм ефективно виявляти та керувати ризиками додатків, а потім знижувати цей ризик, концентруючись на найважливіших проблемах на всій поверхні атаки».
Приоритизація боргу з цінних паперів: критичні та некритичні
У своєму звіті "Стан безпеки програмного забезпечення на 2024 рік" компанія Veracode виявила різну поширеність "критичних" та "некритичних" проблем безпеки серед додатків, написаних різними мовами. Критична заборгованість із забезпечення безпеки визначається у цьому звіті як серйозні недоліки, які залишаються невиправленими понад рік. У разі експлуатації ці недоліки ставлять під серйозну загрозу цілісність та доступність організацій.
Дослідження показало, що, хоча більшість боргу безпеки існує у власному коді, написаному власними розробниками, найбільш серйозний борг безпеки припадає на сторонній код (наприклад, програмне забезпечення з відкритим вихідним кодом, імпортоване в базу коду). Наприклад, 80 відсотків критичного боргу у додатках Java та 63 відсотки у додатках JavaScript припадає на сторонній код. У звіті також говориться, що близько 51 відсотка критичних недоліків у Java-додатках перетворюються на борги з безпеки, тоді як лише близько 45 відсотків недоліків низького та середнього рівня переростають у борги з безпеки.
Енг сказав: «Через велику кількість недоліків безпеки розробники не віддають пріоритет тим, які становлять найбільший ризик. Хоча зосередження уваги на некритичних недоліках може призвести до швидкого виправлення, розробникам слід використати свої обмежені можливості для роботи над виправленням критичних недоліків із найбільшим потенційним впливом на безпеку».
На перше місце — прозорість та розстановка пріоритетів: універсальний конектор та теплова карта безпеки додатків
На основі придбання Veracode компанії Longbow Security у квітні цього року та впровадження функції візуалізації та аналізу ризиків репо Longbow у травні, Universal Connector та теплова карта безпеки додатків розроблені з урахуванням часу розробників. Ці можливості забезпечують операційний контроль, допомагаючи розробникам та командам безпеки швидко виявляти та розставляти пріоритети для найважливіших виправлень зростаючої заборгованості з безпеки у їхніх додатках.
Universal Connector дозволяє організаціям швидко отримувати доступ до розрізнених вихідних даних, які інакше вони не змогли б перенести на платформу Longbow, а це означає, що їм не потрібно чекати на конектор для конкретного інструменту. Теплова карта безпеки програми зіставляє програму з власником і показує 90-денну тенденцію ризику, а також дозволяє налаштовувати поріг ризику відповідно до політики організації. Групи безпеки програм та розробники можуть аналізувати кожну програму, переглядати розподіл ризиків та впроваджувати рекомендації Best Next Action™ для усунення цього ризику.
"Оскільки організації прагнуть знайти і усунути зростаючий критичний обов'язок безпеки, необхідність прозорості ризиків і визначення пріоритетів очевидна", - сказав Дерек Макі, віце-президент з управління продуктами Veracode. "Нові можливості платформи Longbow надають нашим клієнтам більш глибоке розуміння найбільш ризикованих додатків організації, а також унікальну можливість визначати п'ять найбільш ефективних рішень для покращення".
Завдяки придбанню Longbow, Veracode скорочує розрив між командами розробки та безпеки, забезпечуючи прозорість від репозиторіїв коду до хмарних ресурсів та середовища виконання. Longbow також визначає ризик «інфраструктура як код» та ризик неправильної конфігурації для хмарних активів, що походять з репозиторіїв.
Універсальний з'єднувач Longbow та теплова карта безпеки програм доступні негайно. Для отримання додаткової інформації відвідайте веб-сайт Veracode або перегляньте інтерв'ю з Браяном Рошем, генеральним директором Veracode, та Дереком Макі.
Повну версію стану безпеки програмного забезпечення на 2024 рік можна завантажити на веб-сайті Veracode.
У звіті Veracode State of Software Security 2024 проаналізовано дані великих та малих компаній, постачальників комерційного програмного забезпечення, аутсорсерів програмного забезпечення та проектів з відкритим вихідним кодом. Дослідження засноване на більш ніж мільйоні (1 007 133) додатків усіх типів сканування, 1 553 022 сканування динамічного аналізу і 11 429 365 сканування статичного аналізу. Всі ці сканування дали 96 мільйонів необроблених статичних результатів, 4 мільйони необроблених динамічних результатів та 12,2 мільйонів необроблених результатів аналізу складу програмного забезпечення.