- SAST - Koodin staattinen tarkistus
- SCA - Kirjastoanalyysi ja inventaario
- SDLC sovelluskehitysintegraatio
Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa
Veracoden palvelun avulla voidaan tutkia ja parantaa sovellusten tietoturvaa kehitysprosessin alusta aina tuotantokäyttöön asti. Palvelu sopii kaikenlaisiin sovelluskehitysprosesseihin – manuaalisista täysin automatisoituihin. Veracoden palvelu opettaa tekemään tietoturvallista koodia ja näin auttaa kehitystiimejä kehittämään korkealaatuisia sovelluksia. Johdolle Veracode tuo läpinäkyvyyttä ja mitattavuutta – myös ulkoistetun sovelluskehityksen osalta.
Veracode tarjoaa kattavan näkymän sovellusten tietoturvan tilaan kaikille testausmenetelmillä kuten SAST, DAST, SCA ja pentest.
MINT SECURITY täydentää ja laajentaa Veracoden palveluja
Mint Security yhdistää, koordinoi ja innovoi turvallisen ohjelmistokehityksen elinkaarta. Lisäämällä Veracode-työkaluja palveluumme toimitamme kokonaisvaltaisen ja tyylikkään ratkaisun sekä kehitystiimille, business ownereille että johdolle. Tarjoamme ketteriä demoja ratkaisujen ympärillä, jopa omalla koodillasi – myös Teamsin kautta. Tarkistamme koodisi ilman kustannuksia ja samalla näytämme todellisia tuloksia, joihin on helppo yhtyä. Kun olemme osoittaneet onnistuneesti todellisen hyödyn, toteutamme PoCin, jotta näette miten ratkaisu toimii käytännössä. PoCissa tiimisi pääsee itse käyttämään Veracodea – voimme jopa tehdä integraatioita PoCin aikana.
skannattua koodiriviä
korjattua haavoittuvuutta
Gartnerin AST MQ:ssa
asiakasta maailmanlaajuisesti
Asiantuntijoilta asiantuntijoille
Veracoden perustivat aikanaan johtavien sovellusten turva-alan yritysten asiantuntijat, joiden tavoitteena on auttaa organisaatioita suojaamaan koodinsa tietoturvauhkia vastaan kustannustehokkaasti. Veracode tarjoaa staattista analyysiä palveluna pilvestä, joten yritysten ei tarvitse investoida pääomaa itse alustaan. Koska Veracoden alusta on automatisoitu ja helppokäyttöinen, yritysten ei välttämättä tarvitse palkata turvallisuusarvioinnin asiantuntijoita tai konsultteja avuksi. Veracoden staattinen analyysi arvioi käännettyjä sovelluksia lähdekoodin sijaan. Näin voidaan testata valmiita sovelluksia kirjastoineen ja tarjota kattavan ja laajan sovellusturvallisuuden.
Tehokkaan automaation, prosessin ja nopean alustan ansiosta Veracode yhdistää saumattomasti sovellusten turvallisuuden koko ohjelmiston elinkaareen, jolloin poistetaan kustannustehokkaasti haavoittuvuudet kehitys- / käyttöönottoketjusta ja estetään uhat tuotannon aikana. Tätä kokonaisratkaisua hallitaan yhdellä keskitetyllä alustalla, ja se perustuu tehokkaaseen yhdistelmään huippuluokan teknologiaa ja turvallisuusasiantuntijoita, jotka tarjoavat korjausvalmennusta ja prosessien ohjausta.
Kehittäjille ja dev-osastolle
Veracode tekee turvallisen koodin kirjoittamisesta mahtavaa ja helppoa. Kehittäjät pääsevät suoraan kiinni ongelmiin – kehittyneillä välineillämme, kuten API- ja IDE-integraatioilla, saa vinkit haavoittuvuuksien korjaamiseen suoraan niiden löytämisen yhteydessä. Voit tehdä turvallisuudesta saumattoman osan kehitystyön elinkaarta ilman luopumista kehitystyön nopeudesta tai innovaatioista. Ketterää tietoturvaa, ihan oikeasti.
Tietoturva-ammattilaisille
Veracoden avulla voidaan täyttää sekä kehittäjien tarpeet sovellusten turvallisudelle että yrityksen asettamat raportointi- ja varmennusvaatimukset. Veracoden kyky tarjota oikeat ratkaisu jokaiselle ohjelmiston elinkaaren vaiheelle varmistaa, että yritysten rakentamat ja hankkimat sovellukset sekä kolmansien osapuolten komponentit ovat turvallisia.
Johdolle
Veracode toimittaa sovellusten tietoturvaratkaisuja ja palveluita, joita nykyinen ohjelmistopohjainen maailma edellyttää, jotta innovaatio ja turvallisuus voivat kulkea käsi kädessä. Veracoden asiakkaat aloittavat työstämisen nopeasti, huomaavat arvon jo ensimmäisenä päivänä, osoittavat noudattavansa regulaatioita ja skaalautuvat helposti. Veracodella saat myös lisää mitattavuutta ulkoistetun sovelluskehityksen SLA- tai laatuvaatimuksiin.
Tuotannolla ja ops-osastolle
Veracode tarjoaa ratkaisuja, jotka varmistavat sovelluksen turvallisuuden aina tuotantovaiheeseen saakka. Tuotannosta vastaavat tiimit saavat paremman käsityksen tuotantosovelluksiin mahdollisesti kohdistuvista hyökkäyksistä ja voivat suojautua uhkia vastaan ilman heikennyksiä suorituskykyyn. Kun mahdollisesti käytössä olevissa avoimen lähdekoodin komponenteissa havaitaan uusia haavoittuvuuksia, riskikohteet voidaan löytää ja korjata nopeasti.
Mitä on staattinen analyysi – SAST
SAST, eli Static Analysis Security Testing ja suomeksi koodin staattinen analyysi on yksi monista koodin tarkistustyökaluista, joita voidaan tehdä ilman ohjelmiston varsinaista suorittamista. Staattisessa analyysissä tarkastellaan ohjelmaa ei-ajoympäristössä. Tämä testausmenetelmän selkeänä etuna on, että siinä voidaan arvioida kaikenlaisia sovelluksia, sekä verkkopalveluja että muita sovelluksia, Kehittyneen mallinnuksen avulla voidaan havaita ohjelmiston syötteiden ja tulosten virheitä, joita ei voi välttämättä nähdä dynaamisen, eli esim. tuotantoympäristön skannauksen kautta. Aiemmin tämä tekniikka vaati lähdekoodia, mikä on epäkäytännöllistä, koska lähdekoodi ei usein ole käytettävissä. Lisäksi lähdekoodin tarkastelu on usein myös riittämätöntä. Veracoden staattisen analyysin palvelu arvioi binäärikoodia tai tavukoodia (käännetty ohjelma) lähdekoodin sijaan, minkä avulla yritykset voivat testata ohjelmistojaan tehokkaammin ja kattavammin. Tämä tietenkin lisää ohjelmiston tai tuotteen kokonaisturvallisuutta.
Lisää yksityiskohtia
Patentoitu teknologia
Veracoden patentoitu staattinen, binäärisovelluksen tietoturvatestauksen (SAST) tekniikka, analysoi kaiken koodin, mukaan lukien kolmansien osapuolten komponentit ja ohjelmakirjastot. SAST täydentää kehittäjien tekemiä uhkamallinnuksia ja koodinarviointeja löytäen mahdolliset koodausvirheet ja puutteet nopeammin ja edullisemmin automatisoinnin kautta. Teknologiaa käytetään tyypillisesti ohjelmistokehityksen elinkaaren alkuvaiheessa, koska ongelmien korjaaminen on helpompaa ja halvempaa ennen tuotantokäyttöä. SecDevOps hengessä, Veracode on kokonaisuus, joka alkaa ensimmäisistä koodiriveistä aina CI-ympäristöön ja automatisointiin asti.
Haavoittuvuuksien metsästystä
Veracoden SAST-teknologia tunnistaa kriittiset haavoittuvuudet, kuten esim. SQL-injektiot, sivustojen väliset komentosarjat (XSS), puskurin ylivuodot, käsittelemättömät virhetilat, kovakoodatut salasanan ja mahdolliset takaovet. Se luokittelee ja priorisoi haavoittuvuudet käyttäen NIST-vakavuusasteiden mukaista standardia. Kehittäjien avuksi toimitetaan yksityiskohtaiset tiedot ja korjausehdotukset, joiden perusteella he pystyvät aloittamaan nopeasti tarvittavat toimenpiteet. Ehdotuksia tukemassa on linkit CWE-tietokantoihin, seikkaperäiset kuvaukset haavoittuvuudesta, arvio korjauksen monimutkaisuudesta sekä linkitys Veracoden eLearning-portaaliin. Jos tämäkään ei riitä, voi painaa nappia ja kutsua paikalle sovellustietoturva-asiantuntijan, joka katsoo yhdessä kehittäjän kanssa juuri sitä ongelmallista tilannetta, jota ollaan ratkomassa.
Miten SAST toimii
SAST analysoi binäärikoodin luodakseen yksityiskohtaisen mallin sovelluksen data- ja ohjauspoluista. Tämän jälkeen mallia käytetään sovelluksen läpi kaikista poluista, jotka edustavat mahdollisia heikkouksia. Jos esimerkiksi sovelluksen tieto on peräisin HTTP-pyynnöstä ja etenee sovelluksen läpi ilman validointia tai puhdistusta tietokantakyselyyn saakka, tämä edustaisi SQL-injektiota. Jokainen tällainen teoreettinen polku sovelluksen sisällä analysoidaan tarkasti.
Binääripohjainen SAST antaa syvemmän näkymän
Binääripohjaisen SAST-tekniikan avulla haavoittuvuusien etsintä ja korjaaminen on entistä nopeampaa ja tarjoaa yksityiskohtaisia tietoja. Se on tarkka: staattinen analyysi tutkii sovellukset samalla tavalla kuin hyökkääjät katsovat niitä luomalla yksityiskohtaisen mallin sovelluksen tieto- ja ohjausvirroista. Toisin kuin perinteiset lähdekoodia tarkastavat ohjelmat, tämä lähestymistapa havaitsee tarkasti piilotetut uhat, kuten takaportit, joita on vaikea havaita, koska ne eivät välttämättä ole näkyvissä lähdekoodissa.
Vielä syvemmälle
Työkalu on hyvin käytännönläheinen: priorisoidut tulokset voidaan viedä tiketöintijärjestelmään, kuten esim JIRA, tai niitä voidaan tarkastella selainkäyttöliittymän kautta – tai suoraan sovelluskehittimestä. Vikojen yksityiskohdat ja korjausneuvot annetaan automaattisesti nopean korjaamisen tai ongelman kiertämisen tueksi. SAST minimoi vääriä positiivisia tuloksia. False positiviit ovat hyvin harvinaisia. Tämä lisää tuottavuutta väärien positiivisten tunnistamiseen käytettävän ajan vuoksi. Huippuluokan tietoturva-asiantuntijat tukevat Veracoden keskitettyä alustaa ja analysoivat käsin esim. mainitut false positive -tulokset. Siksi alusta oppii ja paranee jatkuvasti jokaisesta uudesta sovelluksesta, jonka se tarkistaa. Käyttäjälle se tarkoittaa, että voi aloittaa korjaustoimenpiteet nopeammin.
Mikä on SCA?
Veracode SCA (Software Composition Analysis/sovelluskirjastojen skannaus) suojaa Java-, Javascript- ja .NET-sovelluksia avoimen lähdekoodin riskiltä tunnistamalla sovellusten käyttämien avoimen lähdekoodin kirjastojen tunnetut haavoittuvuudet. Sen lisäksi, että Veracode SCA tekee haavoittuvuuksista listan skannauksen yhteydessä, se myös hälyttää, kun uusia haavoittuvuuksia havaitaan tai tunnettujen haavoittuvuuksien riskitasoja päivitetään. Veracoden alustan yhtenä toimintona SCA tarjoaa näkymän, jossa esitetään kaikki testausten tulokset yhdessä paikassa. Lisäksi samalla alustalla voidaan tehdä käyttäjien sekä testauskäytäntöjen, lievennysten ja integraatioiden hallinta.
SCA
SCAn keskeisiä etuja:
- SCA käyttää tietokantaa, jossa on 3 miljoonaan koneoppimisen avulla kerättyä haavoittuvuutta. Tämä tarkoittaa, että testi löytää ongelmat ennen kuin niille on ehditty antaa CWE-numerot, Tiedätte aina ensimmäisenä uusista ongelmista,
- SCA:lla voi tehdä riippuvuusanalyysin, joka näyttää haavoittuvuudet ohjelmiston käyttämissä komponenteissa sekä näiden komponenttien riippuvuuksissa.
- Korjaukseen käytettävää aikaa nopeuttaakseen SCA näyttää vain ne komponenttikirjastojen haavoittuvuudet, joita sovelluksessa hyödynnetään. Se ei luettele kaikkea, mitä kirjasto sisältää.
Alhaisempi lisenssiriski
Monissa avoimen lähdekoodin kirjastoissa on lisenssejä, jolloin sovelluksen käyttäminen kaupallisiin tarkoituksiin voi tulla todella kalliiksi. Veracode huomauttaa tilanteista, joissa yritys ottaa lisenssiriskin. SCA-ratkaisu kertoo, mitkä lisenssit koskevat sovellusta, joten yritys voi tehdä tarvittavat toimenpiteet riskien ratkaisemiseksi ennen tuotantokäyttöä.
Struts-kirjastot esimerkkinä
68 % Java-sovelluksista, jotka hyödynsivät Struts2-kirjastoa, käyttivät vielä viikkoja havainnon jälkeen versiota, joka oli alttiina Struts-Shock-hyökkäykselle. [Lähde: Veracode State of Software Security Report.] Yritykset voivat seurata jatkuvasti sovelluksiaan uusien avoimen lähdekoodin kirjastojen haavoittuvuuksien varalta ilman uusintaskannausta. Yritykset saavat yleiskuvan koko sovellusportfolion tietoturvan tilanteesta, ei vain yhdestä sovelluksesta. Voitte tarkastella kaikkia eri testausmenetelmien havaitsemia haavoittuvuuksia yhtenäisen Veracode politiikan mukaisesti mukaan lukien SCA, staattinen analyysi SAST, dynaaminen analyysi ja tunkeutumistestaus.
Parhaat käytännöt käyttöön
Useat eri toimialojen säädökset, regulaatiot ja turvallisuuspolitiikat edellyttävät, että yritykset tunnistavat ja korjaavat tunnetut haavoittuvuudet sovelluksissa. Tällaisia vaatimuksia ovat esim. PCI DSS, OWASP Top 10, FS-ISAC, NIST ja HITRUST.
Quickly onboard and scale security training to minimize enterprise risk and meet governance and compliance requirements
Veracode’s course-based eLearning empowers software developers, testers and security leads to develop secure applications from inception to deployment, providing the critical skills they need to identify and address potential ulnerabilities.
By using Veracode’s turnkey eLearning program customers can quickly onboard all employees, including geographically diverse development teams, with the security knowledge needed to prevent a potential breach and meet compliance requirements.
Achieve a higher level of application security awareness and proficiency among your developers with comprehensive web-based training delivered via our cloud-based platform.
Our scalable, cost-effective approach can easily be deployed across global organizations with minimal overhead. Best of all, you won’t need additional hardware, software, travel or on-site training expenses to roll out our turnkey program across your enterprise.
Details
Veracode’s eLearning courses, offered through our cloud-based platform, enable customers to get started quickly and to scale easily across multiple geographies and development teams. Unlike many security training offerings in the market, Veracode focuses purely on security awareness and application security training.
Security Training Courses are written for developers by developers, and draw upon years of experience with application security. Veracode’s content addresses important security concerns, such as OWASP Top 10 and PCI requirements, and provides deep expertise in secure coding for multiple languages (e.g., Java, .Net, C\C++) and architectures (e.g., Mobile, Web and Client\Server). Veracode courses also provide proactive techniques, such as Threat Modeling and Secure Architecture, that can be used in the early stages of the software development lifecycle, minimizing the number of security defects in the code.
IDE integration is IDE Scan
Veracode gives you the ability to scan your code, right in your favorite IDE, while you are coding. Whether you are coding in Java, Javascript, C#, or VB.NET, Veracode IDE Scan has you covered. You’ll receive positive feedback when you are correctly using secure coding practices, as well as instant insight into any security flaws that are discovered.
..but what is IDE Scan?
The majority of the scans done with Veracode IDE Scan complete in seconds (mileage may vary by programming language). This means you are getting feedback before you get too far, that’s the speed of DevSecOps. Veracode IDE Scan scans files, classes, or small packages and delivers those results back to your IDE in seconds. It’s a personal security coach while you code, pointing out security flaws right away so you can fix them immediately.
This isn’t just about your code, this is about you! Our aim with Veracode IDE Scan is to help developers around the world, such as yourself, build better and more secure code. Every day you are building the applications that are powering our entire world, and we want to make sure we are giving you the tools to be successful today and tomorrow.
- No “Scan & Scold” – fix your flaw before you even commit your code
- Better remediation advice with code examples
- Positive feedback when best practices are followed
- In line education, learning as you code
- Become a better developer – build your career around it
Supported platforms
You work best when security tools don’t get in your way, which is why Veracode Greenlight integrates with Eclipse, IntelliJ, and Visual Studio. Before checking in your code, you will have already scanned the file you’re working on, reviewed any security flaws, triaged the results, and fixed it on the spot.
We have the integrations
Integrating has a twofold meaning – we integrate into your process and we integrate into your tools.
Ticketing And Bug Tracking Tools
Security findings are best addressed by fixing the source of the problem, in the code. But the prevailing approaches—spending all day creating bug tickets by hand, or doing a one-time import into a defect tracker only to have to update the bugs by hand afterwards—are a pain and don’t scale. Veracode’s defect tracking integrations with JIRA (including JIRA Data Center and JIRA Cloud), Visual Studio Team Services/TFS, and HP ALM not only create defect tickets but they also automatically update or close them when the code is retested.
- CA Agile Central
- Atlassian JIRA
- Microsoft Team Foundation Server
- Bugzilla
- HPE Application Lifecycle Management
Build Systems
Make sure you catch security issues before they get further downstream by integrating Veracode into your Jenkins, Visual Studio Team Services or Team Foundation Server build or release pipelines. You can test in the pipeline or in parallel and can even stop the pipeline if security issues that violate your policy are found. Not ready for CI yet? You can use us in your Maven build too.
- Jenkins
- Microsoft Team Foundation Server (XAML)
- Microsoft Visual Studio Team Services
- Azure DevOps
- Atlassian Bamboo
- Apache Ant
- Apache Maven
- CA Continuous Delivery Director
- JetBrains TeamCity
Integrate much?
Yes. We integrate much. For more integrations, please visit: https://www.veracode.com/products/core-platform-and-architecture/apis-and-plugins.
Static Analysis Tools for C/C++, Java, C#, .NET and More
Veracode offers the industry’s most comprehensive automated static analysis, making application development faster and more reliable. Veracode assesses binary code – compiled or “byte” code – allowing enterprises to scan 100 percent of an application, even when source code is not available for practical or proprietary considerations. Veracode is built on the software-as-a-service model, allowing organizations to access and scale security testing without the need for capital expense or investment. There is no vulnerability assessment software or hardware to purchase and no security personnel to train. Developers submit code through an online platform, and results are returned quickly. Veracode’s automated format greatly reduces the amount of effort and resources needed to perform static analysis, while greatly increasing the accuracy of assessment results.
And now for the ”more” part.. (Q1/2021)
Java
- Java SE, Java EE, JSP
- JDK 1.3-1.9, 10-15, WebLogic 12.x, JDK and OpenJDK 1.3-1.9, 10-15, IBM JDK 1.7-1.8
- Frameworks supported for additional visibility
- Adobe Experience Manager, Apache Axiom, Apache Axis, Apache Axis2, Apache Commons, Apache CXF, Apache Jersey, Apache Oro, Apache Velocity, Apache Xerces, Apache XMLBeans, AWS SDK for Java, Google App Engine, Google Web Toolkit (GWT), Hibernate, Java Portlets, Java Servlets, JAX-RS, JAX-WS, JAXB, JDBC, JDOM, JSF, JSTL, Liferay, Play, Servlets, Spring Boot, Spring Core, Spring Data Access, Spring MVC, Spring Security, Struts, Tiles
.NET Languages and Technologies
- C#, VB.NET, C++/CLI
- NET/Windows, .NET Core, .NET Standard, .NET Portable Class Library, NET 2.0, 3.0, 3.5, 4.0, 4.5,-4.8, .NET 5.0, .NET Core 3.1 and earlier, .NET Standard 2.0-2.1.
- Visual Studio .NET (2002), 2003, 2005, 2008, 2010, 2012, 2013, 2015, 2017 Mono 4.x
- Visual Basic 6
- Frameworks supported for additional visibility
- ADO.NET, ASP.NET, ASP.NET Core, ASP.NET Core MVC, ASP.NET MVC ASP.NET Web API, Autofac, Dapper, Entity, Log4Net, LINQ, Microsoft Enterprise Library, .NET Compact Framework, .NET Micro Framework, .NET Remoting, Newtonsoft Json.NET, NHibernate, Nlog, Npgsql, Oracle Data Provider for .NET (ODP.NET), Serilog, SharePoint 2010-2013, Telerik, Universal Windows Platform, Unity Container, Windows Communication Foundation (WCF), Rich Internet Application (RIA) services, Windows Communication Foundation, Windows Identity Foundation, Windows Phone
JavaScript Libraries and Technologies
Veracode supports analysing many client- and server-side JavaScript and TypeScript applications, including those that use HTML5 APIs, ECMAScript 2015, ECMAScript 2016, ECMAScript 2017, ECMAScript 2018, and JSX. Veracode also supports the following technologies:
- Angular.js, AWS SDK for JavaScript, Backbone.js, Bootstrap, Cheerio.js, Ember.js, Express, jQuery, Koa.js, Node.js, React.js, SAPUI5/OpenUI5, Underscore.js, Vue.js
Mobile platforms
- Android (AWS Mobile SDK for Android, Parse Android SDK)
- iOS Objective C/C/C++ (5-12)
- Kotlin (as APK)
- Xamarin (Forms, Android, iOS, Mac)
- JavaScript/PhoneGap (Android, iOS)
- JavaScript/TypeScript/ionic (Android, iOS)
- JavaScript/Titanium (Android)
- JavaScript/React Native (Android, iOS)
C/C++
- Solaris (SPARC) 2.7-2.10, Red Hat Enterprise Linux (x86), Fedora (x86), CentOS (x86), openSUSE (x86), Solaris (SPARC64), Red Hat Enterprise Linux (x86-64), Fedora (x86-64), CentOS (x86-64), openSUSE (x86-64)
Visual C++ 7.0 – in Visual Studio .NET 2002, Visual C++ 7.1 – in Visual Studio .NET 2003, Visual C++ 8.0 – in Visual Studio 2005, Visual C++ 9.0 – in Visual Studio 2008, Visual C++ 10.0 – in Visual Studio 2010, Visual C++ 11.0 – in Visual Studio 2012, Visual C++ 12.0 – in Visual Studio 2013, Visual C++ 14.0 – in Visual Studio 2015, Visual C++ 14.1 – in Visual Studio 2017, Visual C++ 14.2.x for Visual Studio 2019
Mainframe
- Enterprise COBOL for z/OS, IBM ILE COBOL, MicroFocus COBOL (Net Express), AcuCOBOL-GT, COBOL-85, SCOBOL , COBOL-2002, HP COBOL Tandem, COBOL/400, COBOL for OS/390, COBOL for OS/370, COBOL for MVS, OS/VS COBOL, VS COBOL II
- RPG
..even more
- Apex
- Go
- PHP5 & Zend
- Scala (+ Play & Akka)
- Groovy (+ Grails)
- Ruby & Ruby on Rails
- Classic ASP
- ColdFusion
- PL/SQL
- Perl5 (CGI)
- Python (+ Boto3, Cryptography, Django, Flask, httplib2, Requests, SQLAlchemy)
Veracode’s remediation coaching and developer support services deliver a combination of expertise and best practices matched to your specific needs to help you build an efective enterprise application security program. The right combination of people, process and technology must be properly aligned to helps developers efciently incorporate secure coding skills and practices into their existing development processes. Discovering vulnerabilities in your internal, commercial, cloud or mobile applications is simply the first step in your path to application risk management. Efective and on-going remediation, mitigation, and coaching activities must be carried out to limit the business risks posed by your software infrastructure.
Veracode Application Security Support Services packages offer a unique combination of security coaching and traditional technical and customer support functions. The support packages are designed to meet the needs of the multiple constituents that will inevitably form part of a mature organization-wide application security program. Be it developers who need detailed guidance on code changes to remediate or mitigate vulnerabilities, or third-party vendors that need advice on closing the gap with the enterprise security policy—these needs are addressed by the flexible design and value-add services included in these packages.
Ajankohtaista
Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa
Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.
Veracode State of Software Security 12
Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.
Veracode SoSS 11: Open Source Edition
Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.
Veracode Webinar – Security scanning in pipelines
Tämä on webinaaritallenne 12.5.2021, jossa Julian (Veracode) ja Thomas (Mint Security) näyttävät demoja ja esittelevät ajatuksia Veracoden käyttämisestä CI/CD-putkissa.
Veracode SOSS 11 – sovellusten yleisimmät tietoturvapuutteet
Veracoden vuosittaisessa tietoturvaskannausten tilastoraportissa, State of the Software Security (SOSS), listataan ja analysoidaan sovellusten yleisimpiä tietoturvapuutteita. Tarkastelun tavoitteena on ensisijaisesti auttaa tiimejä löytämään virheet ja puutteet; ja korjaamaan ne.
Veracode Security Labs Demo
Saku talks about Veracode Security Labs and gives a hands-on demo on three excercises.
Veracode – State of Software Security 11
Veracode julkaisi äskettäin vuosittaisen raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat, mikä niitä
Valtaosa sovelluskehittäjistä käyttää sovelluskirjastoja – alle puolet selvillä kirjastoissa piilevistä haavoittuvuuksista
Suurin osa nykyaikaisesta sovelluskehityksestä perustuu avoimen lähdekooodin kirjastoihin. Veracoden ESG-tutkimusyhtiöllä teettämän tutkimuksen mukaan yli 96 prosenttia yrityksistä ja organisaatioista käyttää avoimen lähdekoodin kirjastoja sovelluskehityksessään.
Skannasimme Koronavilkun – tässä havaintomme
Me Mint Securityssä halusimme tutustua Koronavilkku-sovellukseen ja kantaa kortemme kekoon. Koronavilkku osoittautui tietoturvaltaan hyvin korkeatasoiseksi. Merkittäviä turvallisuuteen liittyviä havaintoja emme todenneet.
Veracode Security Labs – Community Edition
Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen.
Veracode Security Labs
Koodarit ovat käytännössä ne ainoat henkilöt organisaatiossa, jotka voivat korjata sovelluksissaan piileskelevät haavoittuvuudet. Veracode Security Labs auttaa täyttämään tietoturvastandardien vaatimukset ja tarjoamaan samalla koko kehitystiimille mielekkään tavan oppia lisää.
SOSS: Avoimen lähdekoodin kirjastot
Veracode julkaisi juuri täydennyksen vuosittain julkaistavaan State of Software Security -raporttiin. Täydennysosassa Veracoden asiantuntijat keskittyvät avoimen lähdekoodin kirjastoissa esiintyviin tietoturvahaavoittuvuuksiin.
