Lacework reduce la fricción de seguridad para los desarrolladores e introduce la corrección automatizada Smart Fix

Lacework, la empresa de seguridad basada en datos, anunció hoy una serie de actualizaciones de su oferta de seguridad de código, incluida Smart Fix, una nueva función para la corrección automatizada de riesgos. Lanzado inicialmente para identificar y explorar vulnerabilidades y exposiciones comunes (CVE) en software de código abierto y de terceros, Smart Fix luego se extenderá a toda la plataforma Lacework para mejorar la resolución en todo el ciclo de vida de las aplicaciones nativas de la nube. En noviembre pasado, Lacework presentó su oferta de seguridad de código que unificó el código y la seguridad de la nube y permitió a las empresas acelerar la entrega de aplicaciones seguras en la nube. Con ese lanzamiento, Lacework introdujo dos formas de análisis de código como nodos en su plataforma de protección de aplicaciones nativa de la nube (CNAPP): el análisis de composición de software (SCA) evalúa el código de terceros para CVE, mientras que las pruebas de seguridad de aplicaciones estáticas (SAST) cubren la enumeración. de vulnerabilidades comunes. (CWE) para código propio. El enfoque de Lacework respecto de la seguridad del código es único y va más allá de la funcionalidad básica. Proporciona a los equipos visibilidad continua sobre exactamente dónde se utilizan las funciones vulnerables en el código, con qué frecuencia se hace referencia a cada vulnerabilidad y si son explotables cuando se ejecutan cargas de trabajo. El enfoque crea un valor único para los clientes, quienes obtienen una lista de materiales de software (SBOM) siempre actualizada para cada dependencia directa y temporal dentro de la cadena de suministro de software y una comprensión profunda de los riesgos asociados con las licencias de código abierto. Lacework SAST utiliza un sofisticado conjunto de técnicas precisas para analizar las cadenas de llamadas y las rutas de control de una aplicación, simplificando un dominio de seguridad donde las herramientas tradicionales ofrecen resultados ruidosos, falsos positivos y debilidades no detectadas. El sistema aprende cuando un desarrollador ha agregado controles de compensación para mitigar el riesgo, y el motor altamente configurable de la plataforma Lacework permite a los ingenieros de seguridad personalizar y agregar reglas fácilmente para satisfacer las necesidades específicas de sus bases de código. Lacework SAST es rápido y preciso, con un bajo número de falsos positivos y negativos. En última instancia, el enfoque de Lacework para la seguridad del código permite a los desarrolladores proteger rápidamente el código propio y de terceros, y a los equipos de seguridad escalar las revisiones de expertos hasta millones de líneas de código por minuto para las aplicaciones de Internet más expuestas. Ahora, con Lacework Smart Fix, la velocidad y precisión sin precedentes de la seguridad del código de Lacework van acompañadas de una corrección automática de las vulnerabilidades del código de terceros. «La nueva tecnología Smart Fix desarrollada por Lacework tiene como objetivo reducir la vulnerabilidad de seguridad y los tiempos de resolución de riesgos entre 10 y 100 veces mediante la automatización de los pasos manuales que actualmente realizan los desarrolladores, proporcionando inteligencia adicional y aprovechando la poderosa plataforma de código a la nube de Lacework», dijo Patrice Godofredo. , ingeniero distinguido de Lacework. Smart Fix para software de terceros Lacework Smart Fix es el siguiente paso en el compromiso de la empresa de simplificar la seguridad en la nube. Con Smart Fix para software de terceros, Lacework facilita la reparación al encontrar la ruta de actualización más pequeña que soluciona todas las vulnerabilidades actuales y potenciales conocidas en el código de terceros. Lacework Smart Fix para software de terceros personaliza las pautas de resolución para el desarrollador. Los productos SCA tradicionales funcionan desde una lente hasta CVE en lugar de agrupar orientación para todos los CVE en un solo paquete y brindar una única recomendación. Esto significa que si un paquete de código tiene múltiples CVE, cada uno puede proporcionar una guía de resolución contradictoria, lo que resulta en los siguientes problemas: Guía deficiente para remediar las vulnerabilidades desde la fuente: parchear los días cero tal como están definidos es un ejercicio pan comido. Según la Base de datos nacional de vulnerabilidades, cada mes se registran un promedio de 1.300 nuevas vulnerabilidades en bases de datos públicas. Muchas veces, los CVE más antiguos no tienen una guía actualizada para estos nuevos días cero, lo que agrega una enorme sobrecarga a los desarrolladores que trabajan para parchear los resultados de las soluciones SCA tradicionales. Enorme ruido de vulnerabilidad: normalmente, hay al menos de dos a cinco CVE por paquete, lo que dificulta identificar el camino más corto para parchear las vulnerabilidades potenciales actuales y futuras. Lacework Smart Fix para software de terceros resuelve los problemas anteriores. Evalúe automáticamente cada posible solución para el paquete vulnerable de un cliente y las versiones posteriores del paquete para determinar la solución óptima. Esto garantiza que no solo se parcheen los CVE identificados, sino también cualquier otra vulnerabilidad potencial conocida que afecte al paquete. Los desarrolladores tendrán acceso a recomendaciones basadas en Smart Fix directamente dentro de su base de código a través de integraciones de Lacework. Tanto para los desarrolladores como para los ingenieros de seguridad, Smart Fix ayuda a evitar costosos ejercicios de parcheo y proporciona una guía clara para la solución que tendrá los mejores resultados de seguridad positivos. Con el tiempo, Lacework ampliará su tecnología Smart Fix para reducir de forma inteligente los riesgos en otras áreas de seguridad, incluidos aspectos adicionales de seguridad del código, identidad y derechos, rutas de ataque y seguridad de infraestructura como código (IaC). En cada caso, el sistema analiza rutas alternativas de reparación, calcula el camino más corto que reduce el mayor riesgo con el menor esfuerzo e incluso puede realizar el cambio de forma automática. Mejoras adicionales Junto con Smart Fix para software de terceros, Lacework anuncia varias otras características nuevas que reducen las preocupaciones de seguridad para los desarrolladores, que incluyen: Contexto de la aplicación: enumera cada instancia en la que una aplicación hace referencia a una biblioteca vulnerable. Los desarrolladores pueden observar con qué frecuencia se llama a la biblioteca y comprender cómo se utiliza. Esto les da el contexto necesario para priorizar realmente los CVE. Análisis diferencial: identifique los CVE introducidos por cada desarrollador a medida que modifican el código y envían solicitudes de extracción. Esto permite a los desarrolladores priorizar la velocidad en el desarrollo de su código y pasar los puntos de control de seguridad en lugar de abordar vulnerabilidades de larga data introducidas por otros. Extensión de código de Visual Studio (VS): detecta y alerta a los desarrolladores sobre bibliotecas y paquetes vulnerables de código abierto y de terceros mientras escriben código. Los desarrolladores pueden abordar proactivamente los riesgos de seguridad directamente dentro de su entorno de desarrollo integrado (IDE) y evitar retrasos causados ​​por el descubrimiento de vulnerabilidades al enviar solicitudes de extracción (PR) o al registrar el código. En todo el espectro de capacidades de seguridad de código, estas herramientas brindan a los desarrolladores y equipos de diseño una ruta nueva y más eficiente para ahorrar tiempo y desarrollar código seguro de manera eficiente.

About Francisco

Check Also

¿Cuánto cuesta crear una aplicación como Costco?

Con el tamaño del mercado en rápido crecimiento de la industria del comercio electrónico, intentar …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *