[01/07/2024] Orca Security ha anunciado nuevas capacidades de gestión de la postura del código fuente, indicando que añaden una visibilidad completa de las plataformas de gestión del código fuente (SCM) a la plataforma de seguridad en la nube de Orca. Según lo señalado en el comunicado de prensa, con integraciones para las herramientas de SCM más populares GitHub y GitLab, Orca está ampliando su huella de seguridad en la nube, proporcionando una cobertura de extremo a extremo desde las plataformas de código fuente hasta la nube y defendiéndose contra los riesgos nativos de la nube durante todo el ciclo de vida del desarrollo.
"Orca entiende que la seguridad en la nube no comienza y termina en la nube. Protegemos a nuestros clientes a lo largo de todo el viaje a la nube", sostuvo Gil Geron, CEO y cofundador de Orca Security. "Hoy en día, las organizaciones se mueven extremadamente rápido durante el desarrollo de código. Si bien las iniciativas de DevSecOps les han ayudado a abordar las vulnerabilidades del código, pueden pasar por alto fácilmente la plataforma de administración de código fuente en sí, que es igual de riesgosa para el negocio. Con las nuevas capacidades de gestión de la postura del código fuente de Orca, estamos ampliando una vez más nuestras capacidades de seguridad Shift Left, lo que permite a las organizaciones gestionar su viaje de seguridad desde el código hasta la nube a través de una única plataforma".
El ejecutivo anotó que, si bien GitHub, GitLab y otros SCM ofrecen funciones de seguridad sólidas, el 62% de las organizaciones tienen vulnerabilidades graves en sus repositorios de código fuente, mientras que el 70% tiene secretos sin cifrar, según el Informe sobre el estado de la seguridad en la nube 2024 de Orca. "La mayoría de los equipos de seguridad desconocen estas características de seguridad nativas y carecen de visibilidad o control sobre los entornos de desarrollo, lo que permite que las vulnerabilidades y los riesgos de seguridad se agraven. Esto deja a las organizaciones incapaces de proteger la infraestructura de la que dependen para enviar nuevas aplicaciones a la nube”.
Con nuevas capacidades para SCM, Geron indicó que Orca está abordando un punto ciego crítico para los equipos de seguridad, lo que les permite detectar riesgos de seguridad y remediar errores de configuración en sus cuentas y repositorios de GitHub y GitLab. "Utilizando su tecnología patentada SideScanping, Orca escanea todos los activos de GitHub y GitLab e identifica los puntos críticos de riesgo, lo que permite a las organizaciones gestionar y mejorar de forma centralizada la seguridad de sus plataformas SCM sin necesidad de herramientas adicionales”.
El ejecutivo comentó que las características clave de la nueva versión incluyen:
- Inventario del repositorio: La aplicación GitHub y la aplicación GitLab de Orca descubren automáticamente todos los repositorios, incluidas las nuevas incorporaciones, y entregan un inventario detallado del repositorio.
- Más allá de la seguridad del código: Orca aprovecha de forma inteligente las mejores prácticas de terceros acreditados (por ejemplo, Open Source Security Foundation (OSSF), Legitify) identificando configuraciones incorrectas, riesgos de seguridad y desviaciones de las mejores prácticas dentro del SCM.
- Alertas dinámicas y sensibles al contexto: Orca evalúa dinámicamente el riesgo, combatiendo la fatiga de alertas al priorizar las alertas en función de la gravedad del riesgo, la explotabilidad, el impacto comercial y los riesgos interconectados que pueden poner en peligro activos de alto valor o provocar incidentes de seguridad significativos.
- Información ampliada del repositorio: Orca enriquece la comprensión de la importancia y el propósito de los repositorios mediante la recopilación de metadatos de GitHub y GitLab, contextualizando todas las fuentes de datos para facilitar una visión integral de la seguridad.
- Corrección e integración del flujo de trabajo: Orca ofrece instrucciones de corrección completas para cada alerta, lo que acelera los tiempos de respuesta para los equipos de seguridad y desarrollo y agiliza los flujos de trabajo.
Franca Cavassa, CTOPerú