Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Avoimen lähdekoodin käyttäminen antaa sovelluskehittäjille tilaisuuden tehdä sovelluksista enttistä parempia, nopeampia ja tehokkaampia, ja aivan lopuksi he tavallaan ilahduttavat sovellusten käyttäjiä tarpeellisilla ominaisuuksilla ja toiminnallisuuksilla. Tämä menettelytapa ei varmaankaan häviää – ainakaan pian – ja se on edelleen nostanut Veracoden intoa tehdä sovelluksista entistä turvallisempia. Juuri tästä syystä Veracode osti taannoin SourceClearin – yrityskaupan taustaideana oli, että yhdistämällä ohjelmiston koostumuksen analyysin (software composition analysis, SCA) tekniikat ohjelmistotalot voisivat kehittää entistä parempia sovelluksia avoimen lähdekoodin avulla tietoturvan säilyessä korkealla tasolla.

 

SourceClear integraatio on nyt valmis

Veracoden palvelun käyttäjillä onkin nyt mahdollisuus käyttää alan johtavaa ja skaalautuvaa SCA-ratkaisua, joka tarjoaa korkealaatuisen tuen SecDevOps-ympäristöille pilvipohjaisen Veracode Application Security Platform -palvelun kautta. Veracode SCA tarjoaa korkealaatuisen menetelmän haavoittuvuuksien havaitsemiseen. Menetelmä lisää SCA-tarkistuksen tulosten toimivuutta sekä mahdollisuutta vastaanottaa mahdollisia hälytyksiä uusista tai päivitetyistä haavoittuvuuksista ilman, että sovellusta tarvitsee skannata uudelleen.

Lisäksi Veracoden ratkaisu perustuu omaan kirjastoon ja haavoittuvuustietokantaan, joiden rakentamisessa on käytetty koneoppimista ja tiedon louhintaa. Näiden avulla menetelmät tunnistavat haavoittuvuuksia, joita ei ole saatavana haavoittuvuustietokannassa (NVD). Common vulnerabilities and exposures (CVE) lisäksi tietokanta sisältää nyt myös ns Reserved CVEt ja No-CVEt, jotka on havaittu tietojen louhinta- ja koneoppimismalleillamme.

Veracoden asiantuntijatiimi tarkistaa nämä tulokset kaikilla tuetuilla kielillä.

Veracode

Mitä uusi SCA tarkoittaa DevOps -tiimeille?

DevOps -tiimeille Veracode SCA tarjoaa korjausohjeet, SaaS-pohjaisen skaalautuvuuden ja integroinnin Veracoden työkalujen kanssa. Näin käyttäjät saavat näkyvyyden kaikkiin käytettäviin suoriin ja epäsuoraan avoimen lähdekoodin kirjastoihin, kyseisten kirjastojen tunnettuihin ja tuntemattomiin haavoittuvuuksiin ja miten ne vaikuttavat sovelluksiin, hidastamatta kuitenkaan ohjelmoinnin nopeutta.

Lisäksi Veracode SCA on markkinoiden ainoa ratkaisu, joka tarjoaa kaksi vaihtoehtoa tehdä SCA-tarkistus, mikä tarjoaa näkyvyyden avoimen lähdekoodin haavoittuvuuksiin, kirjastoversioihin ja mahdollisiin lisensseihin.

1. Tavanomainen binäärin tarkistus

Veracode

Perinteisen sovelluksen tarkistusprosessin avulla voit ladata sovelluksesi tai binaarisi Veracoden palveluun, jolla voi käynnistää skannauksia käyttöliittymän tai rajanpinnan kautta.
SCA-skannaus käynnistyy Veracode staattisen analyysin rinnalla. Staattisen analyysin arvioinnin aikana Veracode palvelu tekee SCA-skannauksen tarkistaakseen sovelluksen koostumuksen. SCAn tulokset toimitetaan staattinen analyysin vielä jatkuessa. Luettelo käytetyistä kirjastoista ja niiden versioista, tulokset verrattuna policy-määrittelyyn sekä avoimen lähdekoodin mahdolliset lisenssit.

Samassa yhteydessä on Veracode on laajentanut tukeaan uusille ohjelmointikielille ja s. Nykyisten Java-, JavaScript-, Node.js- ja .NET -ohjelmointikielien lisäksi Veracode tukee Golang-, Ruby-, Python-, PHP-, Scala-, Objective-C- ja Swift -ohjelmointikieliä.

2. Agenttipohjainen skannaus

Veracoden palveluun integroitu agenttipohjainen tarkistus antaa mahdollisuuden skannaukseen joko manuaalisesti komentoriviltä tai automaattisesi CI-alustalta. Agenttipohjaista skannausprosessia on parannettu sisällyttämällä siihen aikaisempaa useampia avoimen lähdekoodin kirjastojen lisenssityyppejä. Kirjastoja ja haavoittuvuustietokantaa on parannettu lisäämällä havaittuja uusia haavoittuvuuksia sekä kykyä yhdistää sovellusprojektien skannaukset sovellusprofiileihin tarkistuspolitiikan noudattamista, raportointia ja PDF-raportteja varten.
Veracode

Veracode SCA -agenttipohjaiset palvelun asiakkaat saavat käyttöönsä:

  • Haavoittuvan metodin havaitseminen: Määritetään koodirivi, josta sovelluskehittäjät voivat selvittää, kutsuuko koodi avoimen lähdekoodin kirjaston haavoittuvaa osaa
  • Auto Pull -pyynnöt: Veracode SCA tunnistaa haavoittuvuudet ja antaa suosituksia kirjaston turvallisemman version käyttämisestä. Tämä ominaisuus luo automaattisesti pull-pyynnöt, jotka voidaan liittää koodisi kanssa GitHubissa, GitHub Enterprisessa tai GitLabissa. Menetelmä tarjoaa koodaajalle korjauksen.
  • Konttien skannaus: Skannaa Docker-kontit ja imatet avoimen lähdekoodin haavoittuvuuksista Linux-jakeluissa ja peruskirjastoissa.

Vaihtoehtona "kumpikin"

Molempia skannaustyyppejä voidaan käyttää joustavasti samaan sovellukseen. Agenttipohjaista skannausta voidaan käyttää kehittämisen aikana, ja perinteinen binaarien skannaus voidaan tehdä ennen sovelluksen käyttöönottoa. Skannaustuloksia arvioidaan edelleen valitun policyn perusteella ja käyttäjiä kehotetaan ryhtymään tarvittaviin toimiin tulosten pohjalta. Nämä toiminnot voidaan automatisoida integroimalla Jenkinsiin (tai muuhun CI-työkaluun).

Ei varmaakaan ole liioittelua sanoa, että jokaisesta yrityksestä on tavallaan tulossa ohjelmistoyritys ja avoimen lähdekoodin käyttöönotto kasvaa edelleen. Jos sovellusportfolion avoimen lähdekoodin komponenteihin on selkeä näkymä, haavoittuvuuksien kautta tapahtuva tietomurron riski laskee. 

Uusi Veracode SCA auttaa käyttämään luotettavasti avoimen lähdekoodin komponentteja aiheuttamatta tarpeetonta riskiä.

Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio VERACODE on ketterän sovelluskehityksen tietoturvaratkaisu Veracoden alustalla voidaan arvioida ja parantaa sovellusten tietoturvallisuutta

Lue lisää »
Verified by Veracode
sdlc

Veracode’n verifioimaa koodia

Osoita sovelluskehityksesi tietoturvan erinomaisuus Veracode Verified -ohjelman avulla. Tällä tavoin teet tietoturvasta kilpailuedun – ja samalla teet ostamisen asiakkaillesi helpommaksi. Kun myynti toimii, takaat myös sen, että tietoturva saa arvoisensa aseman sovelluskehityksessä.

Lue lisää »
Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.