Le minacce informatiche moderne mettono le aziende di fronte a nuove esigenze, come ad esempio quello di avere a disposizione degli strumenti in grado di garantire uno sviluppo sicuro dei codici e di ridurre i rischi applicativi. Per rispondere a queste necessità, Veracode, azienda mondiale specializzata nella gestione del rischio applicativo, ha annunciato una serie di innovazioni della propria piattaforma che stabiliscono un nuovo standard per la sicurezza delle applicazioni a misura di sviluppatore. Le nuove funzionalità di visibilità e analisi del rischio di Longbow Security, alimentata da Veracode, accelerano la correzione del rischio applicativo dai repository di codice fino alle immagini di runtime. La soluzione viene lanciata insieme all’implementazione di Veracode Fix nell’ambiente di sviluppo integrato (IDE) e di Batch Fix, con l’obiettivo di colmare il divario tra team di sviluppo e sicurezza. Queste ultime innovazioni consentono agli sviluppatori di potersi concentrare su attività che creano maggior valore e differenziazione alla propria azienda.
“Rispetto al passato, gli sviluppatori si trovano ad affrontare pressioni notevoli e contrapposte, per innovare più velocemente ed eseguire maggiori controlli di sicurezza sul proprio codice”, ha dichiarato Tim Jarrett, Group Head of Product Management di Veracode. “Il nostro obiettivo è garantire un’esperienza senza attriti sia agli sviluppatori che agli operatori di security, e i nostri più recenti miglioramenti di prodotto rendono il lavoro dei team di sicurezza del codice semplice e immediato”.
Avvicinare team di sviluppatori e sicurezza: Repo Risk Visibility & Analysis
Ad aprile Veracode ha acquisito Longbow Security per consentire alle aziende di gestire e ridurre efficacemente il rischio applicativo su una crescente superficie di attacco. L’integrazione della più recente funzionalità di Longbow, sulla visibilità e analisi dei repository software, consente di colmare il divario tra team di sviluppo e sicurezza grazie a una maggiore visibilità dai repository di codice fino alle immagini runtime e alle risorse cloud. Inoltre, permette di analizzare la infrastructure-as-code e i rischi di errata configurazione delle risorse cloud che derivano dai repository.
“I clienti ci hanno spinto a utilizzare l’esclusiva esperienza di Longbow in materia di sicurezza cloud e prioritizzazione per risolvere i problemi di gestione del rischio a monte nei loro repository di codice,” ha affermato Derek Maki, Vice President of Product Management di Veracode. “Abbiamo risposto con una soluzione che consente visibilità sulla relazione tra le debolezze del codice sorgente e la postura della sicurezza a livello di runtime. Contemporaneamente, i team di sviluppo ottengono una visione consolidata del rischio e un enorme risparmio di tempo quando si tratta di dare priorità alla correzione, ridurre le modifiche al codice e risolvere rapidamente i problemi.”
Questa nuova funzionalità integra la più recente innovazione di Veracode per la scansione dei repository su GitHub, consentendo agli sviluppatori di ottimizzare attività quali la definizione di server e ambienti, in modo da non dover effettuare una scansione ogni volta. Così facendo, è più facile per i team di sviluppo e sicurezza collaborare alla codifica e alla scansione in sicurezza, poiché i risultati di Veracode vengono inviati su GitHub affinché gli sviluppatori possano agire tempestivamente.
Ridurre il debito di sicurezza: Veracode Fix nell’IDE e Batch Fix
Una recente ricerca ha rivelato che il 92% degli sviluppatori statunitensi utilizza già strumenti di codifica basati su intelligenza artificiale (AI), sia sul posto di lavoro che al di fuori, e che l’AI generativa aiuta i software engineer a scrivere codici più velocemente del 35-45%. Allo stesso tempo, altre ricerche indicano che il codice sviluppato dall’AI contiene la stessa percentuale di falle di sicurezza di quello prodotto dagli esseri umani.
Veracode è stata la prima azienda a offrire una soluzione che fornisce agli sviluppatori correzioni sicure di codice generate dall’intelligenza artificiale. Dal lancio alla RSA Conference dello scorso anno, centinaia di clienti hanno utilizzato Veracode Fix per ridurre i debiti di sicurezza e i rischi correlati. Il 92% delle CWE (Common Weakness Enumeration) con un livello di gravità da medio a molto alto può essere risolto grazie alle modifiche del codice proposte dall’intelligenza artificiale della soluzione.
Con l’introduzione di Veracode Fix nell’IDE, gli sviluppatori possono ora correggere le falle ancor più velocemente grazie ai suggerimenti dell’intelligenza artificiale direttamente nell’IDE, senza dover cambiare applicazione o cercare opzioni di codice alternative. Le modifiche possono essere apportate prima che il codice venga inviato nel ciclo di vita dello sviluppo del software, riducendo drasticamente tempi e costi di correzione delle vulnerabilità rispetto a quella retroattiva.
Con l’aiuto dell’intelligenza artificiale, Batch Fix permette di correggere in serie le falle del codice sorgente in un’unica operazione, su più vulnerabilità e file, rendendo questo procedimento un ordine di grandezza più veloce, favorendo la riduzione del debito di sicurezza su larga scala. Ad esempio, gli sviluppatori possono utilizzarlo per correggere un CWE che richiede una risoluzione semplice da verificare ed eseguirlo su più file sorgenti contemporaneamente.
“Con queste ultime innovazioni, Veracode risponde alle richieste degli sviluppatori proponendo nuove soluzioni per gli strumenti di utilizzo quotidiano, aiutandoli a proteggere il codice senza compromettere la produttività. In questo modo, efficienza e velocità migliorano in modo sensibile, promuovendo una cultura di collaborazione e fiducia tra i team di sviluppo e di sicurezza,” ha concluso Tim Jarrett.