Stando a un recente studio condotto dalla società di analisi IDC, l’84% delle organizzazioni afferma che l’accettazione degli sviluppatori degli strumenti per la sicurezza rappresenta il “requisito più importante” o un “requisito estemamente importante” per l’adozione del DevSecOps.¹ Le più recenti innovazioni di Veracode ridefiniscono la strategia per mettere al sicuro applicazioni cloud-native durante l’intero ciclo SDLC, rafforzando l’impegno dell’azienda a fornire una piattaforma unificata per una gestione completa dei rischi per la sicurezza.
Brian Roche, responsabile prodotti presso Veracode, ha affermato: “Gli sviluppatori sono sottoposti a un’immensa pressione per offrire rapidamente innovazioni, spesso ricorrendo a meccanismi come LLM e l’open source per accelerare il processo. Sfortunatamente, questa strategia può tradursi in un consumo di codice poco sicuro e a soluzioni che esasperano i rischi per la sicurezza anziché mitigarli. La situazione è aggravata dagli strumenti per la sicurezza esistenti che aggiungono complessità anziché semplificare il processo per gli sviluppatori.
Veracode affronta questa sfida offrendo una piattaforma unificata che non solo consente di monitorare e mitigare il rischio, ma anche di ottimizzare i flussi di lavoro degli sviluppatori tra repository, IDE e il cloud. Con l’offerta di strumenti per la sicurezza di facile utilizzo per gli sviluppatori, consentiamo alle organizzazioni di creare un software sicuro più rapidamente, eliminando la necessità di trovare un compromesso tra sicurezza e velocità.”
In un mondo in cui le applicazioni web sono responsabili del 60% delle violazioni² e gli attacchi alle API sono schizzati al 137% nel 2022, è fondamentale garantire che le applicazioni cloud-native siano sufficientemente protette e costantemente monitorate. La scansione dinamica analizza i sistemi runtime in tempo reale utilizzando metodi di attacco reali in un ambiente sicuro e può essere eseguita in un ambiente di pre-produzione, all’interno dell’SDLC. Le soluzioni tradizionali non sono all’altezza e spesso non offrono la scalabilità e la flessibilità richieste dalle organizzazioni in crescita. Al contrario, DAST Essentials di Veracode è una soluzione agile che consente agli sviluppatori e ai team di sicurezza di affrontare i rischi in modo semplice, rapido e su scala.
“Poiché le aziende continuano a confrontarsi con la sfida di proteggere una superficie di attacco in continua espansione, la necessità di soluzioni complete è innegabile. Bilanciare la velocità di sviluppo con una solida sicurezza è un compito complesso, ostacolato dalla natura dispendiosa in termini di tempo delle scansioni dinamiche regolari e dalla disconnessione tra i team di sviluppo e di sicurezza”, ha dichiarato Katie Norton, analista di ricerca senior, DevOps e DevSecOps, presso IDC. “Le soluzioni, come Veracode DAST Essentials, che sono integrate e riducono l’attrito per gli sviluppatori, possono contribuire ad accelerare lo sviluppo di software sicuro, unificare gli sforzi di bonifica e consentire alle organizzazioni di rafforzare le proprie difese nel panorama in evoluzione della cybersicurezza.”
Con uno dei più bassi tassi di falsi positivi segnalati dai clienti (inferiore al cinque per cento), Veracode DAST Essentials scansiona e testa simultaneamente più applicazioni web e API (Application Programming Interfaces). La ricerca State of Software Security di Veracode ha rilevato che l’80% delle applicazioni web presenta vulnerabilità critiche che è possibile identificare solo attraverso la scansione dinamica. Tale dato evidenzia il ruolo critico che DAST (Dynamic Application Security Testing) svolge all’interno di un solido programma di sicurezza delle applicazioni, assicurando che le organizzazioni possano gestire le vulnerabilità strumentalizzabili nel software cloud-native in modo accurato e rapido.
Manhattan Associates, azienda specializzata in soluzioni per la catena di approvvigionamento, ha scelto di collaborare con Veracode per il suo programma di analisi dinamica e sicurezza cloud-native. Rob Thomas, vicepresidente esecutivo, Ricerca e sviluppo e Operazioni cloud di Manhattan Associates, ha affermato: “Il ruolo di Veracode nel settore e il fatto che sia basata sul cloud significa che può offrire continuamente nuove innovazioni. Avere un partner cloud-native come Veracode ci consente di eseguire scansioni continue del nostro software, in modo da avere la certezza in tempo reale che la nostra soluzione sia la più sicura possibile.”
Veracode è consapevole delle sfide che gli sviluppatori devono affrontare per adottare misure di sicurezza cloud-native senza interrompere i loro flussi di lavoro. La Veracode GitHub App facilita l’adozione da parte degli sviluppatori, consentendo ai team di sicurezza delle applicazioni di effettuare una sola volta la configurazione ed eseguire senza problemi l’onboarding degli sviluppatori. Questa integrazione consente agli sviluppatori di correggere rapidamente gli errori di codice negli ambienti in cui lavorano con un unico strumento per l’analisi della composizione del software (SCA) statica e la scansione di sicurezza dei container. Il risultato è un processo di sviluppo più rapido e fluido che non mette a repentaglio la sicurezza.
La prima scansione delle applicazioni cloud-native è spesso un processo manuale, complesso e frustrante. La Veracode GitHub App semplifica questo processo, fornendo agli sviluppatori risultati di scansione senza frustrazioni nel loro ambiente preferito. I team DevOps possono facilmente integrare i repository senza configurazioni manuali, mantenendo la velocità di sviluppo e semplificando i processi di scansione. Grazie alla possibilità di standardizzare le configurazioni di scansione per centinaia di repository con un solo clic, i team DevOps possono ridurre i problemi e integrare la sicurezza cloud-native molto prima nel percorso del ciclo di sviluppo.
Roche ha concluso: “Garantire la sicurezza delle applicazioni cloud-native non è mai stato così importante. Gli sviluppatori assemblano il codice tanto quanto lo scrivono, il che significa che anche le applicazioni sviluppate nel modo più meticoloso sono esposte a minacce. Per proteggere la catena di fornitura del software, lo sviluppo di applicazioni moderne richiede un cambio di paradigma nelle pratiche di sicurezza. Con l’affermarsi dei metodi di sviluppo delle applicazioni cloud distribuite, queste ultime innovazioni relative ai prodotti dimostrano che Veracode sta adottando la natura dinamica del panorama cloud-native per dare inizio al cambiamento per mettere al sicuro il nostro futuro digitale”.
Questo annuncio segue il lancio avvenuto a inizio anno di un motore di correzione alimentato dall’IA, Veracode Fix, che è stato nominato tra i 20 prodotti di cybersicurezza più popolari e tra i prodotti più interessanti da vedere alla RSA Conference 2023.
La disponibilità sul mercato di tutte queste capacità verrà annunciata in occasione di AWS re:Invent 2023, che si terrà dal 27 novembre al 1º dicembre a Las Vegas, in Nevada.
Visitate lo stand 270 a AWS re:Invent per conoscere meglio le innovazioni della piattaforma di sicurezza con software intelligente di Veracode, tra cui Veracode DAST Essentials, Veracode GitHub App e Veracode Fix.
BlogInnovazione.it
Un intervento di oftalmoplastica con l'utilizzo del visore commerciale Apple Vision Pro è stato eseguito al Policlinico di Catania La…
Lo sviluppo delle abilità motorie fini tramite il colorare prepara i bambini a competenze più complesse come la scrittura. Colorare…
Il settore navale è una vera e propria potenza economica mondiale, che ha navigato verso un mercato da 150 miliardi…
Lunedì scorso, il Financial Times ha annunciato un accordo con OpenAI. FT concede in licenza il suo giornalismo di livello…
