[07/05/2024] Lacework, la empresa de seguridad basada en datos, ha anunciado una serie de actualizaciones de su oferta de seguridad de código encabezada por Smart Fix, una nueva capacidad para la corrección automatizada de riesgos. Lanzado inicialmente para identificar y navegar por vulnerabilidades y exposiciones comunes (CVE) en software de código abierto y de terceros, la empresa señaló en el comunicado de prensa que Smart Fix se extenderá más adelante a toda la plataforma Lacework para mejorar la corrección en todo el ciclo de vida de las aplicaciones nativas de la nube.
"El pasado mes de noviembre, Lacework presentó su oferta de seguridad de código, que unificaba el código y la seguridad en la nube, y permitía a las empresas acelerar la entrega de aplicaciones seguras en la nube. Con esa versión, Lacework introdujo dos formas de análisis de código como nodos en su plataforma de protección de aplicaciones nativas en la nube (CNAPP): el análisis de composición de software (SCA) evalúa el código de terceros para CVE, mientras que las pruebas de seguridad de aplicaciones estáticas (SAST) cubren la enumeración de debilidades comunes (CWE) para el código de origen”, sostuvo Patrice Godefroid, ingeniero distinguido de Lacework.
El ejecutivo anotó que con Lacework Smart Fix, la velocidad y precisión de la seguridad del código de Lacework viene con la corrección automática de las vulnerabilidades del código de terceros.
Smart Fix para software de terceros
Según Godefroid, Lacework Smart Fix es el siguiente paso en el compromiso de la empresa de simplificar la seguridad en la nube. "Con Smart Fix para software de terceros, Lacework facilita la corrección al encontrar la ruta de actualización más pequeña que corrige todas las vulnerabilidades actuales y potenciales conocidas sobre el código de terceros”.
El ejecutivo agregó que Lacework Smart Fix para software de terceros adapta la guía de corrección para el desarrollador. "Los productos SCA tradicionales funcionan desde una perspectiva por CVE en lugar de incluir una guía para todos los CVE en un paquete y proporcionar una recomendación singular”, anotó Godefroid, señalando que esto significa que, si un paquete de código tiene varios CVE, cada uno puede proporcionar instrucciones de corrección conflictivas que se convierten en una bola de nieve que se convierte en los siguientes problemas:
- Orientación deficiente para la corrección de vulnerabilidades desde el origen:Aplicar parches a los días cero, tal como se definen, es un ejercicio de golpear a un topo. Según la Base de Datos Nacional de Vulnerabilidades, hay un promedio de 1.300 nuevas vulnerabilidades al mes registradas en bases de datos públicas. Muchas veces, los CVE más antiguos no tienen una guía actualizada para estos nuevos días cero, lo que agrega una enorme sobrecarga a los desarrolladores que trabajan para parchear los hallazgos de las soluciones SCA tradicionales.
- Ruido de vulnerabilidad abrumador:Por lo general, hay al menos de dos a cinco CVE por paquete, lo que dificulta identificar el camino más corto para remediar las vulnerabilidades potenciales actuales y futuras.
"Lacework Smart Fix para software de terceros resuelve los problemas anteriores. Evalúa automáticamente cada posible solución para el paquete vulnerable de un cliente y las versiones posteriores del paquete para determinar la solución óptima. Esto garantiza que no solo se parcheen los CVE identificados, sino también cualquier otra vulnerabilidad potencial que se sepa que afecta al paquete. Los desarrolladores tendrán acceso a las recomendaciones guiadas de Smart Fix directamente dentro de su base de código a través de las integraciones de Lacework”, anotó Godefroid.
Con el tiempo, agregó el ejecutivo, Lacework ampliará su tecnología Smart Fix para reducir de forma inteligente el riesgo en otros dominios de seguridad, incluidos otros aspectos de la seguridad del código, las identidades y los derechos, las rutas de ataque y la seguridad de la infraestructura como código (IaC). En cada caso, el sistema analiza rutas alternativas para la corrección, calcula la ruta más corta que reduce el mayor riesgo con la menor cantidad de esfuerzo e incluso puede ejecutar el cambio automáticamente.
Mejoras adicionales
Junto con Smart Fix para software de terceros, Lacework anunció otras capacidades nuevas que reducen la fricción de seguridad para los desarrolladores, entre ellas:
- Contexto de aplicación: Enumera todas las instancias en las que una aplicación hace referencia a una biblioteca vulnerable. Los desarrolladores pueden observar la frecuencia con la que se llama a la biblioteca y comprender cómo se utiliza la biblioteca. Esto les proporciona el contexto necesario para priorizar eficazmente las CEV.
- Análisis diferencial: Identifica los CVE introducidos por cada desarrollador a medida que cambian el código y envían solicitudes de incorporación de cambios. Esto permite a los desarrolladores priorizar la velocidad en el desarrollo de su código y a través de los puntos de control de seguridad en lugar de lidiar con vulnerabilidades de larga data introducidas por otros.
- Extensión de código de Visual Studio (VS): Detecta y alerta a los desarrolladores sobre bibliotecas y paquetes vulnerables de terceros y de código abierto a medida que se escribe el código. Los desarrolladores pueden abordar de forma proactiva los riesgos de seguridad directamente dentro de su entorno de desarrollo integrado (IDE) y evitar retrasos causados por la detección de vulnerabilidades durante los envíos de solicitudes de incorporación de cambios (PR) o las protecciones de código.
"En todo el espectro de capacidades de seguridad de código, estas herramientas proporcionan a los desarrolladores y equipos de ingeniería un camino nuevo y más eficiente para ahorrar tiempo y desarrollar código seguro con eficiencia”, finalizó Godefroid.
Franca Cavassa, CTOPerú