Veracode, specialista mondiale nella gestione del rischio applicativo, ha annunciato una serie di importanti novità pensate per aiutare gli sviluppatori a creare software secure by design e i team di sicurezza a ridurre i rischi in tutto l’ecosistema, dal codice fino al cloud. Le più recenti evoluzioni di Veracode Fix e Veracode Risk Manager, soluzione precedentemente nota come Longbow Security, offrono agli sviluppatori la possibilità di progettare software, valutare i rischi e correggerli con un semplice click all’interno del proprio ambiente di riferimento.
“Sei mesi fa abbiamo aderito alla petizione Secure By Design della Cybersecurity and Infrastructure Security Agency (CISA), che si propone di portare la cybersecurity a livello della progettazione e realizzazione dei prodotti tecnologici”, ha dichiarato Tim Jarrett, Group Vice President of Product Management di Veracode. “A sostegno di questo scopo, Veracode continua a investire in nuove funzionalità di sicurezza ‘Shift-Left’ e a rendere l’esperienza di sviluppo più automatizzata e priva di ostacoli”.
Veracode Fix: remediation supportata dall’intelligenza artificiale per gli sviluppatori nell’IDE
Il boom dell’intelligenza artificiale si traduce nella possibilità di scrivere codice più velocemente che mai. Il vero problema risiede nel fatto che il codice generato dall’AI contiene circa la stessa percentuale di falle di quello creato dall’uomo. Con il 71% delle organizzazioni che fatica ad affrontare un debito di sicurezza causato da anni di vulnerabilità accumulate nel codice, gli sviluppatori hanno assolutamente bisogno di strumenti per accelerare la correzione delle falle.
Le più recenti novità di Veracode Fix, strumento che unisce intelligenza artificiale ed esperienza umana per ridurre i tempi di remediation da mesi a minuti, permettono agli sviluppatori di accedere a correzioni del codice drop in per l’80% delle vulnerabilità di prima parte. Per un’organizzazione che presenta 2.000 falle di sicurezza, questo significa che l’utilizzo di questo strumento potrebbe ridurre il tempo di eliminazione del debito di sicurezza di 2.400 ore, con un risparmio di 240.000 dollari rispetto a una correzione manuale.
“Abbiamo registrato con attenzione i riscontri degli sviluppatori che hanno apprezzato questa tecnologia e hanno voluto integrarla nei loro flussi di lavoro. Poiché molti dei nostri clienti lavorano ogni giorno in ambienti come GitHub, abbiamo inserito Veracode Fix direttamente nelle loro attività di Push/Pull Request”, ha aggiunto Tim Jarrett. “Grazie alla sua flessibilità, GitHub Action può essere configurata per correggere tutti i file di un progetto, risolvere qualsiasi difetto compatibile e consentire agli sviluppatori di inserire commenti individuali su ciascun suggerimento di correzione”.
Disponibile in tutti gli ambienti di sviluppo integrati (IDE), Veracode Fix consente agli sviluppatori di correggere le vulnerabilità semplicemente cliccando su un pulsante nelle loro pipeline CI/CD e garantendo la creazione di un software realmente secure by design.
Lo strumento sta già aiutando i clienti a quantificare l’innovazione in materia di sicurezza. “In futuro, un elemento di successo verrà rappresentato dall’intelligenza artificiale di Veracode che ci aiuterà a correggere le nostre rilevazioni. L’AI a supporto delle remediation rappresenta una novità assoluta che ci mette a disposizione un piano verificato per trarre vantaggio dall’intelligenza artificiale, che non vediamo l’ora di mettere in pratica”, ha dichiarato Phillip Hagedorn, Cloud Architect di HDI Global SE.
Con il nuovo supporto IDE di Veracode, gli sviluppatori possono anche trovare e correggere le vulnerabilità nel codice di prima parte e in quello open source ancora prima di aggiungerlo alla base di codice. In questo modo, i flussi di lavoro e la risoluzione dei problemi saranno più semplici grazie all’analisi statica e all’analisi della composizione del software in Visual Code Studio, JetBrains (IntelliJ, PyCharm, Rider), Eclipse e Visual Studio.
Application Security Posture Management con Veracode Risk Manager per i team di sicurezza
Insieme a Veracode Fix, Veracode Risk Manager (VRM) è in grado di correlare e contestualizzare i rischi dal codice al cloud, risalendo alla causa principale e consentendo una correzione one to many. Questa ampia visibilità permette ai team di sicurezza di assegnare le priorità e di eliminare le vulnerabilità più critiche con il minimo sforzo.
Le novità apportate al VRM, permettono a sviluppatori e team di sicurezza di avere un livello di controllo superiore sulla gestione dei rischi. Tra le caratteristiche più recenti, figurano:
- GitLab Repository Connector: Favorisce l’analisi alla radice dei problemi di runtime riconducendoli direttamente al repository del codice sorgente, consentendo ai team di individuare l’origine dei rischi e di accelerarne la risoluzione.
- Risultati della GitLab Ultimate Security: Consente la raccolta, unificazione, correlazione e prioritizzazione dei risultati di Gitlab Ultimate Security, compresi quelli relativi all’analisi statica e alla sicurezza dei container. In questo modo i team possono concentrarsi su problematiche più importanti e fornire una reportistica unificata su rischi e conformità.
- Mappature di conformità personalizzate: Fornisce alle organizzazioni gli strumenti per personalizzare le mappature di conformità in base ai loro requisiti specifici, facilitando il compliance management.
- Nuovi connettori: VRM dispone di numerosi nuovi connector nativi per le rilevazioni, tra cui Tenable, Qualys, Rapid7, Aquasec, ServiceNow Two-Way sync e altri ancora.
“VRM è la mente della sicurezza cloud native e rappresenta uno strumento indispensabile per le aziende impegnate a rafforzare le proprie difese in questo ambito. Lo strumento affronta le sfide più comuni, come la visibilità incompleta e i limiti di scalabilità, e trasforma il modo in cui le aziende visualizzano, danno priorità e correggono i rischi con una visione a 360 gradi delle vulnerabilità di sicurezza”, ha spiegato Tim Jarrett. “Questi ultimi aggiornamenti, insieme alle funzionalità Application Risk Heatmap e Universal Connector lanciate all’inizio di quest’anno, rendono il VRM un aggiornamento rivoluzionario per le aziende che si concentrano seriamente sulla sicurezza”.
Aiutare le organizzazioni a costruire una struttura Secure by Design
Il nuovo Chief Product Officer di Veracode, Ravi Iyer, è focalizzato sull’integrazione della sicurezza nello sviluppo dei prodotti e sul miglioramento dell’esperienza complessiva degli sviluppatori: “Queste ultime novità sottolineano l’importanza di sviluppare, acquistare e distribuire un software che sia sicuro fin dalla fase di progettazione. I nostri clienti hanno bisogno di soluzioni che li aiutino a identificare, gestire e correggere i rischi su scala, e noi continueremo a soddisfare questa domanda rendendo i prodotti di Veracode compatibili e facili da usare per gli sviluppatori”.
