[08/05/2024] Veracode ha anunciado innovaciones en la plataforma señalando que establecen un nuevo estándar para la seguridad de las aplicaciones impulsadas por los desarrolladores. De acuerdo a lo anotado en el comunicado de prensa, la nueva visibilidad y análisis del riesgo de los repositorios de Longbow Security, con tecnología Veracode, acelera la corrección del riesgo de las aplicaciones desde los repositorios de código hasta las imágenes en tiempo de ejecución. La solución se lanza junto con Veracode Fix en el entorno de desarrollo integrado (IDE) y Batch Fix para cerrar la brecha entre los equipos de desarrollo y seguridad.
"Hoy en día, los desarrolladores se enfrentan a importantes presiones competitivas para innovar más rápido y realizar más comprobaciones de seguridad en su código que nunca", sostuvo Tim Jarrett, jefe de Grupo de Gestión de Productos de Veracode. "Estamos comprometidos con una experiencia sin fricciones para los desarrolladores y operadores de seguridad, y nuestras últimas mejoras de productos hacen que el trabajo de proteger el código sea simple y sin problemas".
En abril, Veracode adquirió Longbow Security para ayudar a las organizaciones a gestionar y reducir eficazmente el riesgo de las aplicaciones en la creciente superficie de ataque. "La integración de la capacidad más reciente de Longbow, la visibilidad y el análisis de riesgos de repos, cierra la brecha entre los equipos de desarrollo y seguridad con una visibilidad mejorada desde los repositorios de código hasta los activos en la nube y las imágenes en tiempo de ejecución. También arroja luz sobre el riesgo de infraestructura como código y de configuración incorrecta para los activos en la nube que se originan en los repositorios”, aseguró el ejecutivo.
Por su parte, Derek Maki, vicepresidente de gestión de productos de Veracode, anotó que los clientes los desafiaron a aplicar su experiencia en riesgo y priorización de la nube de Longbow a los problemas que enfrentan al administrar el riesgo ascendente en sus repositorios de código. "Respondimos con una solución que da visibilidad a la relación entre las debilidades del código fuente y la postura de seguridad en tiempo de ejecución. Al mismo tiempo, los equipos de desarrollo obtienen una visión consolidada del riesgo y un enorme ahorro de tiempo cuando se trata de priorizar la corrección, reducir los cambios de código y solucionar los problemas rápidamente".
El ejecutivo indicó que esta nueva característica complementa la última innovación de Veracode para el escaneo de repositorios de GitHub, que permite a los desarrolladores optimizar actividades como servidores y entornos de ensayo para que no tengan que escanear cada vez. "Esto facilita que los equipos de desarrollo y seguridad colaboren en la codificación y el escaneo seguros, ya que los resultados de Veracode se entregan a GitHub, donde los desarrolladores pueden actuar de inmediato”.
Veracode Fix en el IDE y Batch Fix
De acuerdo al ejecutivo, Veracode fue la primera empresa en ofrecer una solución que proporciona a los desarrolladores correcciones de código seguro generadas por IA. "Desde el lanzamiento de Veracode Fix en la Conferencia RSA el año pasado, cientos de clientes han utilizado la solución para reducir su acumulación de deudas y riesgos de seguridad. El 92% de los CWE (Common Weakness Enumeration) con una calificación de gravedad de media a muy alta se pueden abordar a través de ediciones de código generadas por IA de Veracode Fix”.
Agregó que, con la introducción de Veracode Fix en el IDE, los desarrolladores ahora pueden corregir fallas más rápido con la corrección sugerida por IA directamente en el IDE, sin cambiar de aplicación ni investigar opciones de código alternativas. "Las correcciones se pueden realizar antes de que el código se envíe a través del ciclo de vida de desarrollo de software, lo que reduce drásticamente el tiempo y el costo dedicados a corregir fallas en comparación con la corrección retroactiva”.
Por su parte, Maki señaló que Batch Fix permite la corrección masiva asistida por IA de fallas en el código fuente en múltiples fallas y archivos en una sola operación. "Esto hace que la corrección de fallas sea un orden de magnitud más rápida, lo que ayuda a reducir la deuda de seguridad a escala. Por ejemplo, los desarrolladores pueden usarlo para arreglar un CWE que requiere una resolución fácil de probar y ejecutarlo en varios archivos de origen a la vez”.
Jarrett concluyó que, con estas últimas innovaciones, Veracode llega a los desarrolladores donde están, en las herramientas que usan a diario, para ayudarlos a proteger el código que crean hoy, sin comprometer la productividad. "Esto mejora enormemente la eficiencia y la velocidad, fomentando una cultura de colaboración y confianza entre los equipos de desarrollo y seguridad".
Repo Risk Visibility & Analysis, Veracode Fix en el IDE y Batch Fix están disponibles de inmediato.
Franca Cavassa, CTOPerú}