A medida que el software se come al mundo, el mundo se enfrenta a una crisis de seguridad del software. El cambio a software moderno, como tecnologías en la nube y arquitecturas de microservicios, es esencial para innovar rápidamente. Sin embargo, casi tres de cada cuatro desarrolladores dicen que la seguridad ralentiza Agile y DevOps.
Ni los desarrolladores ni los equipos de seguridad tienen la culpa. La velocidad de DevOps se ve frenada por un modelo de seguridad de aplicaciones basado en escaneo (AppSec) de 15 años de antigüedad diseñado para principios de la década de 2000. Las herramientas de seguridad tradicionales no pueden mantenerse al día con el rápido ritmo de desarrollo actual o la escala de la cartera de aplicaciones modernas.
Sin embargo, sacrificar la seguridad por la velocidad de desarrollo pone en riesgo la información personal y comercial crítica y confidencial, desde datos financieros hasta de atención médica, y puede interrumpir las operaciones o incluso causar interrupciones.
Resumen
Los escáneres de código no pueden cumplir con DevOps moderno
Los enfoques heredados de AppSec que se basan en el escaneo en un momento dado están plagados de retrasos en el desarrollo y resultados altamente imprecisos. Los escaneos tardan muchas horas, si no días, lo que no es ideal para los equipos ágiles que envían el código varias veces al día.
Imagine un error de servidor en una plataforma de comercio electrónico que atiende a millones de clientes; la compañía perderá miles de dólares cada segundo que permanezca el error. Los equipos simplemente no pueden esperar a que se completen estos análisis de seguridad. Además, una vez que se completan, los resultados de seguridad ingenuamente, pero sin querer, causan más daño que bien.
Los hallazgos inexactos toman la forma de falsos positivos y falsos negativos. Estas son debilidades fundamentales de los escáneres de código porque desperdician el tiempo crítico de los desarrolladores en problemas de seguridad que en realidad ni siquiera existen.
Los escáneres de código no pueden diferenciar entre falsos positivos y verdaderos positivos porque son «ciegos» al contexto de tiempo de ejecución de las aplicaciones, como la totalidad de los flujos de datos y control, la lógica interna, la configuración y la arquitectura, la vista de presentación, las bibliotecas y los marcos, y servidor de aplicaciones.
El contexto de tiempo de ejecución, que escapa a los escáneres de código, contiene la información crítica necesaria para diferenciar los falsos positivos de las vulnerabilidades reales.
Transformación de AppSec con instrumentación de seguridad
Contrast Security transforma AppSec al ofrecer un enfoque radicalmente diferente. Aprovechando el mismo tipo de enfoque de instrumentación de software utilizado en otras áreas del desarrollo de software moderno, como el monitoreo del rendimiento de la aplicación (APM), Contrast incorpora sensores de seguridad en el binario empaquetado al iniciar la aplicación.
El flujo de datos a través de la aplicación, junto con otro contexto de tiempo de ejecución importante, activa un motor inteligente de coincidencia de patrones que produce información de seguridad precisa.
En lugar de centrarse en los cuellos de botella de seguridad frustrantes y que consumen mucho tiempo y en las interrupciones en la escritura de código, los desarrolladores pueden centrarse en crear aplicaciones innovadoras y seguras. Contrast crea un enfoque integral de la plataforma AppSec que prácticamente elimina el bombardeo de alertas de seguridad de vulnerabilidades de falsos positivos.
La instrumentación de seguridad es una excelente opción para el software moderno y DevOps porque es escalable. Las pruebas funcionales ahora también sirven como pruebas de seguridad, reemplazando a los costosos expertos en seguridad con productos de seguridad amigables para los desarrolladores y retrasos en el desarrollo con cronogramas acelerados de lanzamiento al mercado.
Democratización de AppSec moderno
Con la aspiración de hacer que AppSec moderno esté disponible para todos los desarrolladores, independientemente de su capacidad de pago, Contrast lanzó Community Edition, la única plataforma AppSec nativa de DevOps gratuita diseñada pensando en los desarrolladores. Community Edition ofrece acceso casi completo a los productos de Contrast (Assess, OSS y Protect), y los desarrolladores reciben pruebas de seguridad de aplicaciones interactivas (IAST), análisis de composición de software (SCA) y soluciones de autoprotección de aplicaciones en tiempo de ejecución (RASP), todo gratis. .
Como punto de partida, Community Edition permite a los desarrolladores centrarse únicamente en reparar las vulnerabilidades derivadas del código personalizado que realmente importan mediante Contrast Assess. También ofrece una visibilidad sin precedentes y una gestión de los riesgos de seguridad de las vulnerabilidades introducidas a través de bibliotecas de código abierto y de terceros utilizando Contrast OSS, una solución de análisis de composición de software (SCA) o seguridad de código abierto.
Contrast Protect, una solución de autoprotección de aplicaciones en tiempo de ejecución (RASP), permite a los desarrolladores extender la seguridad instrumentada al tiempo de ejecución del producto. Contrast Protect supervisa y bloquea automáticamente los ataques a las aplicaciones que utilizan instrumentación desde dentro de la aplicación, incluso si la vulnerabilidad aún existe en el código escrito por ellos mismos o en las bibliotecas de código abierto.
Piénsalo. Los tres casos de uso fundamentales de un programa moderno de seguridad de aplicaciones se admiten en una única plataforma: la plataforma Contrast DevOps-Native AppSec. Los desarrolladores pueden registrarse para obtener una cuenta gratuita, acceder a toda la plataforma y proteger su aplicación en una hora.
La principal limitación de Community Edition es que los desarrolladores solo pueden instrumentar y proteger una aplicación Java o .NET Core. Además, la compatibilidad con un lenguaje de programación más amplio y algunas características empresariales, como el control de acceso basado en roles (RBAC) y los informes empaquetados, están reservados para los usuarios pagos.
Los desarrolladores pueden ponerse en marcha con Contrast Community Edition, integrando AppSec directamente en las herramientas modernas de DevOps que ya utilizan. Usando la flexibilidad y extensibilidad de Contrast DevOps-Native AppSec Platform, los desarrolladores pueden implementar Community Edition en una de varias nubes de plataforma como servicio (PaaS) de su elección.
Pueden ser los primeros en conocer las vulnerabilidades recién descubiertas a través de herramientas de chat, agregar puertas de seguridad a las canalizaciones de integración continua/implementación continua (CI/CD), rastrear la remediación a través de sistemas de emisión de boletos.
Lo que es más importante, los desarrolladores pueden obtener información sobre las opciones de reparación en entornos de desarrollo integrados (IDE) y editores de código.
Conoce el Portal de Contraste
Las siguientes capturas de pantalla muestran las capacidades principales de Community Edition y pretenden ayudar a los desarrolladores a familiarizarse más con el producto y sus interfaces de usuario introductorias.
Pantalla de inicio – Una vista única de la postura de seguridad de toda la cartera de aplicaciones de un usuario. Los desarrolladores reciben una calificación de una sola letra que indica el estado general de su cartera, así como las puntuaciones de seguridad para el código personalizado y el uso de la biblioteca. También pueden aprender sobre métricas de remediación, desgloses de estado de vulnerabilidad e historial de ataques.
Cuadrícula de vulnerabilidad – Profundice en la postura de seguridad de una aplicación específica al ver una lista de las vulnerabilidades encontradas en el código fuente personalizado durante el tiempo de ejecución de la aplicación. La lista, que se puede filtrar por gravedad y estado, brinda descripciones rápidas de los tipos de vulnerabilidad encontrados junto con la primera y la última marca de tiempo detectada.
Vista de vulnerabilidad – Obtenga acceso sin precedentes a información detallada sobre cualquier vulnerabilidad encontrada en el código fuente personalizado durante el tiempo de ejecución de la aplicación. Obtenga información sobre lo que se encontró exactamente, comprenda el riesgo de seguridad, realice un seguimiento del flujo de datos o incluso reproduzca la solicitud HTTP. Lo que es más importante, obtenga una guía de remediación clara y procesable.
Vista de código abierto – Profundice en la postura de seguridad de una aplicación específica al ver una lista de todas las bibliotecas de código abierto y de terceros utilizadas por la aplicación. La lista, que se puede filtrar por gravedad y estado, otorga calificaciones con letras que indican la seguridad de esa biblioteca al tiempo que comunica la cantidad de clases de biblioteca instanciadas y la última versión de la biblioteca a la que el desarrollador debe actualizar para reducir el riesgo de seguridad.
Vista de ataque – Supervise los ataques contra la aplicación mientras aprende sobre la dirección IP del atacante, la vulnerabilidad explotada y los plazos del ataque. Utilice Contrast Protect para bloquear y evitar automáticamente que estos ataques, tanto conocidos como desconocidos (día cero), tengan éxito en el perímetro de la aplicación o justo antes de que se realice la acción maliciosa desde dentro de la aplicación.
Obtenga el poder de AppSec innovador y preciso
Las herramientas de seguridad de aplicaciones tradicionales, como los escáneres de códigos, no pueden mantenerse al día con el rápido ritmo actual de desarrollo de aplicaciones, que es la piedra angular de la innovación rápida.
Contrast Community Edition democratiza AppSec, lo que permite que DevOps acelere a la velocidad del negocio a través de la instrumentación de seguridad. Los desarrolladores pueden obtener experiencia de primera mano si se registran hoy en Community Edition. Obtenga una cuenta gratuita hoy y comience a escribir código seguro más rápido.
