Veracode представляет инструменты для борьбы с растущим долгом за безопасность

Чтобы помочь организациям справиться с растущим долгом за безопасность и расширяющейся поверхностью атак, компания Veracode объявила о двух новинках платформы.

Veracode представила Universal Connector и Application Security Heatmap на базе Longbow, которые позволяют компаниям быстро определять и приоритизировать риски безопасности в своих приложениях.

Эти новые возможности появились в критический момент, когда организации пытаются справиться с чрезмерным объемом предупреждений о безопасности и растущей уязвимостью своих систем перед угрозами, в том числе со стороны генеративного искусственного интеллекта.

"Сочетание растущего долга за безопасность, расширяющейся поверхности атак, которая становится еще более уязвимой благодаря генеративному ИИ, и чрезмерного объема оповещений о безопасности усложняет организациям задачу определения приоритетных рисков для приложений", - сказал Крис Энг, директор по исследованиям Veracode.

Отчет Veracode State of Software Security 2024 Language Snapshot (PDF) выявил тревожные тенденции в области долгов по безопасности для различных языков программирования. В отчете критический долг безопасности определяется как дефекты высокой степени серьезности, которые остаются неисправленными более года, представляя серьезный риск для целостности и доступности организации в случае их использования.

Один из ключевых выводов показывает, что, хотя большая часть долгов по безопасности существует в коде, написанном собственными разработчиками, наиболее критичные долги по безопасности находятся в коде сторонних разработчиков, таких как программное обеспечение с открытым исходным кодом. Например, 80 % критических ошибок в Java-приложениях и 63 % в JavaScript-приложениях приходится на сторонний код.

В отчете также отмечена тревожная тенденция в том, как разработчики определяют приоритеты исправлений. В Java-приложениях около 51 % критических дефектов превращаются в долги по безопасности, в то время как только 45 % дефектов низкой и средней степени сложности делают это. Это говорит о том, что разработчики могут уделять внимание менее критичным проблемам в ущерб более серьезным уязвимостям.

Энг подчеркнул важность определения приоритетности критических недостатков: "Хотя концентрация на некритичных недостатках может привести к быстрому устранению, разработчики должны использовать свои ограниченные возможности для исправления критических недостатков с наибольшим потенциальным влиянием на безопасность".

Для решения этих проблем новый универсальный коннектор Veracode позволяет организациям быстро получить доступ к разрозненным исходным данным, которые ранее они не могли ввести в платформу Longbow. Это устраняет необходимость ожидания коннекторов для конкретных инструментов, позволяя быстрее проводить анализ и принимать меры.

Тепловая карта безопасности приложений обеспечивает визуальное представление риска по всем приложениям, сопоставляя каждое приложение с его владельцем и показывая тенденцию риска за 90 дней. Она также позволяет настраивать пороговые значения риска в соответствии с политикой организации. Эта функция позволяет командам безопасности и разработчикам анализировать приложения, просматривать распределение рисков и выполнять рекомендации по наиболее эффективным действиям по исправлению ситуации.

Дерек Маки, вице-президент по управлению продуктами Veracode, прокомментировал: "Поскольку организации стремятся найти и устранить все больше критических ошибок в системе безопасности, необходимость в наглядности и расстановке приоритетов с учетом рисков очевидна.

"Новые возможности платформы Longbow дают нашим клиентам более глубокое понимание наиболее рискованных приложений организации, а также уникальную возможность определить пять наиболее эффективных решений для улучшения".

Эти инновации основываются на приобретении компанией Veracode компании Longbow Security в апреле и последующем внедрении в мае функции Repo Risk Visibility and Analysis. Усовершенствованная платформа призвана устранить разрыв между командами разработчиков и специалистов по безопасности, обеспечивая всестороннюю видимость от репозиториев кода до облачных активов и времени выполнения.

Поскольку организации продолжают бороться со сложностями современной разработки программного обеспечения и постоянно присутствующей угрозой кибератак, такие инструменты, как Universal Connector и Application Security Heatmap, могут оказаться решающими в эффективном управлении и снижении рисков безопасности.