Veracode объявила об инновациях платформы для выявления и унификации критических рисков
Veracode объявила об инновациях платформы для выявления и унификации критических рисков
Veracode, мировой лидер в области управления рисками приложений, объявила об инновациях платформы, которые помогут организациям выявлять, расставлять приоритеты и сокращать долги по обеспечению безопасности на растущей поверхности атак. . Универсальный соединитель и тепловая карта безопасности приложений, две новейшие возможности Longbow на базе Veracode, позволяют организациям быстро объединять данные из любого источника и видеть приложения, которые вносят наибольший вклад в риск. Вместе универсальный соединитель и тепловая карта безопасности приложений обеспечивают четкую оперативную информацию об активах и проблемах, позволяя расставлять приоритеты действий по устранению с учетом количественного риска.
«Сочетание растущего долга по безопасности, расширяющейся поверхности атак, которая становится более уязвимой из-за генеративного искусственного интеллекта, и огромного количества предупреждений о безопасности усложняет для организаций понимание того, каким рискам приложений следует уделять приоритетное внимание», — сказал Крис Энг, главный научный сотрудник Veracode. «На самом деле, наше исследование состояния безопасности программного обеспечения показывает, что многие организации больше внимания уделяют устранению недостатков низкой степени серьезности, чем критических недостатков. Лидерам в области безопасности нужны технологии, которые позволят им эффективно выявлять и управлять рисками приложений, а затем снижать этот риск, концентрируясь на наиболее важных проблемах на всей поверхности атаки».
Приоритизация долга по ценным бумагам: критические и некритические
В своем отчете «Состояние безопасности программного обеспечения на 2024 год» компания Veracode выявила различную распространенность «критических» и «некритических» проблем безопасности среди приложений, написанных на разных языках. Критическая задолженность по обеспечению безопасности определяется в этом отчете как серьезные недостатки, которые остаются неисправленными более года. В случае эксплуатации эти недостатки поставят под серьезную угрозу целостность и доступность организаций.
Исследование показало, что, хотя большая часть долга по безопасности существует в собственном коде, написанном собственными разработчиками, наиболее серьезный долг по безопасности приходится на сторонний код (например, программное обеспечение с открытым исходным кодом, импортированное в базу кода). Например, 80 процентов критического долга в приложениях Java и 63 процента в приложениях JavaScript приходится на сторонний код. В отчете также говорится, что около 51 процента критических недостатков в Java-приложениях превращаются в долги по безопасности, в то время как только около 45 процентов недостатков низкого и среднего уровня перерастают в долги по безопасности.
Энг сказал: «Из-за большого количества недостатков безопасности разработчики не отдают приоритет тем, которые представляют наибольший риск. Хотя сосредоточение внимания на некритических недостатках может привести к быстрому исправлению, разработчикам следует использовать свои ограниченные возможности для работы над исправлением критических недостатков с наибольшим потенциальным воздействием на безопасность».
На первое место — прозрачность и расстановка приоритетов: универсальный коннектор и тепловая карта безопасности приложений
Основываясь на приобретении Veracode компании Longbow Security в апреле этого года и внедрении функции визуализации и анализа рисков репо Longbow в мае, Universal Connector и тепловая карта безопасности приложений разработаны с учетом времени разработчиков. Эти возможности обеспечивают операционный контроль, помогая разработчикам и командам безопасности быстро выявлять и расставлять приоритеты для наиболее важных исправлений растущей задолженности по безопасности в их приложениях.
Universal Connector позволяет организациям быстро получать доступ к разрозненным исходным данным, которые иначе они не смогли бы перенести на платформу Longbow, а это означает, что им не нужно ждать коннектора для конкретного инструмента. Тепловая карта безопасности приложения сопоставляет приложение с владельцем и показывает 90-дневную тенденцию риска, а также позволяет настраивать порог риска в соответствии с политикой организации. Группы безопасности приложений и разработчики могут анализировать каждое приложение, просматривать распределение рисков и внедрять рекомендации Best Next Action™ для устранения этого риска.
«Поскольку организации стремятся найти и устранить растущий критический долг по безопасности, необходимость в прозрачности рисков и определении приоритетов очевидна», — сказал Дерек Маки, вице-президент по управлению продуктами Veracode. «Новые возможности платформы Longbow предоставляют нашим клиентам более глубокое понимание наиболее рискованных приложений организации, а также уникальную возможность определять пять наиболее эффективных решений для улучшения».
Благодаря приобретению Longbow, Veracode сокращает разрыв между командами разработки и безопасности, обеспечивая прозрачность от репозиториев кода до облачных ресурсов и среды выполнения. Longbow также определяет риск «инфраструктура как код» и риск неправильной конфигурации для облачных активов, происходящих из репозиториев.
Универсальный соединитель Longbow и тепловая карта безопасности приложений доступны немедленно. Для получения дополнительной информации посетите веб-сайт Veracode или посмотрите интервью с Брайаном Рошем, генеральным директором Veracode, и Дереком Маки.
Полную версию состояния безопасности программного обеспечения на 2024 год можно загрузить на веб-сайте Veracode .
В отчете Veracode State of Software Security 2024 проанализированы данные крупных и малых компаний, поставщиков коммерческого программного обеспечения, аутсорсеров программного обеспечения и проектов с открытым исходным кодом. Исследование основано на более чем миллионе (1 007 133) приложений всех типов сканирования, 1 553 022 сканированиях динамического анализа и 11 429 365 сканированиях статического анализа. Все эти сканирования дали 96 миллионов необработанных статических результатов, 4 миллиона необработанных динамических результатов и 12,2 миллиона необработанных результатов анализа состава программного обеспечения.