• SAST - Koodin staattinen tarkistus
  • SCA - Kirjastoanalyysi ja inventaario
  • SDLC sovelluskehitysintegraatio

VERACODE on ketterän sovelluskehityksen tietoturvaratkaisu

Veracoden alustalla voidaan arvioida ja parantaa sovellusten tietoturvallisuutta kehitysprosessin alusta aina tuotantokäyttöön asti. Veracode sopii kaikenlaisiin sovelluskehtityssprosesseihin – manuaalisista täysin automatisoituihin. Veracode auttaa tuottamaan turvallista koodia ja opettaa tiimejä tuottamaan korkealaatuisia lopputuloksia. Johdolle Veracode tuo läpinäkyvyyttä ja mitattavuutta – myös ulkoistetun sovelluskehityksen osalta.

MINT SECURITY täydentää ja laajentaa Veracoden palveluja

Mint Security yhdistää, koordinoi ja innovoi turvallisen ohjelmistokehityksen elinkaarta. Lisäämällä Veracode-työkaluja palveluumme toimitamme kokonaisvaltaisen ja tyylikkään ratkaisun sekä kehitystiimille, business ownereille että johdolle.

Tarjoamme ketteriä demoja ratkaisujen ympärillä, jopa omalla koodillasi – myös Skypen kautta. Tarkistamme koodisi ilman kustannuksia ja samalla näytämme todellisia tuloksia joihin on helppo yhtyä. Kun olemme osoittaneet onnistuneesti todellisen hyödyn, toteutamme PoC:n, jotta näette miten ratkaisu toimii käytännössä. PoC:issa tiimisi pääsee itse käyttämään Veracodea – voimme jopa tehdä integraatioita PoC: n aikana.

icon_5
8+ BILJOONAA

skannattua koodiriviä

icon_6
32+ MILJOONAA

korjattua haavoittuvuutta

icon_7
5x JOHTAJA

Gartnerin AST MQ:ssa

icon_8
2000+

asiakasta maailmanlaajuisesti

Asiantuntijoilta asiantuntijoille

Veracoden perustivat aikanaan johtavien sovellusten turva-alan yritysten asiantuntijat, joiden tavoitteena on auttaa organisaatioita suojaamaan koodinsa tietoturvauhkia vastaan kustannustehokkaasti. Veracode tarjoaa staattista analyysiä palveluna pilvestä, joten yritysten ei tarvitse investoida pääomaa itse alustaan. Koska Veracoden alusta on automatisoitu ja helppokäyttöinen, yritysten ei välttämättä tarvitse palkata turvallisuusarvioinnin asiantuntijoita tai konsultteja avuksi. Veracoden staattinen analyysi arvioi käännettyjä sovelluksia lähdekoodin sijaan. Näin voidaan testata vlmiita sovelluksia kirjastoineen ja tarjota kattavan ja laajan sovellusturvallisuuden.

Tehokkaan automaation, prosessin ja nopean alustan ansiosta Veracode yhdistää saumattomasti sovellusten turvallisuuden koko ohjelmiston elinkaareen, jolloin poistetaan kustannustehokkaasti haavoittuvuudet kehitys- / käyttöönottoketjusta ja estetään uhat tuotannon aikana. Tätä kokonaisratkaisua hallitaan yhdellä keskitetyllä alustalla, ja se perustuu tehokkaaseen yhdistelmään huippuluokan teknologiaa ja turvallisuusasiantuntijoita, jotka tarjoavat korjausvalmennusta ja prosessien ohjausta.

Kehittäjille ja dev-osastolle

Veracode tekee turvallisen koodin kirjoittamisesta mahtavaa ja helppoa. Kehittäjät pääsevät suoraan kiinni ongelmiin – kehittyneillä välineillämme, kuten API- ja IDE-integraatioilla, saa vinkit haavoittuvuuksien korjaamiseen suoraan niiden löytämisen yhteydessä. Voit tehdä turvallisuudesta saumattoman osan kehitystyön elinkaarta ilman luopumista kehitystyön nopeudesta tai innovaatioista. Ketterää tietoturvaa, ihan oikeasti.

Tietoturva-ammattilaisille

Veracoden avulla voidaan täyttää sekä kehittäjien tarpeet sovellusten turvallisudelle että yrityksen asettamat raportointi- ja varmennusvaatimukset. Veracoden kyky tarjota oikeat ratkaisu jokaiselle ohjelmiston elinkaaren vaiheelle varmistaa, että yritysten rakentamat ja hankkimat sovellukset sekä kolmansien osapuolten komponentit ovat turvallisia.

Johdolle

Veracode toimittaa sovellusten tietoturvaratkaisuja ja palveluita, joita nykyinen ohjelmistopohjainen maailma edellyttää, jotta innovaatio ja turvallisuus voivat kulkea käsi kädessä. Veracoden asiakkaat aloittavat työstämisen nopeasti, huomaavat arvon jo ensimmäisenä päivänä, osoittavat noudattavansa regulaatioita ja skaalautuvat helposti. Veracodella saat myös lisää mitattavuuta ulkoistetun sovelluskehityksen SLA- tai laatuvaatimuksiin.

Tuotannolla ja ops-osastolle

Veracode tarjoaa ratkaisuja, jotka varmistavat sovelluksen turvallisuuden aina tuotantovaiheeseen saakka. Tuotannosta vastaavat tiimit saavat paremman käsityksen tuotantosovelluksiin mahdollisesti kohdistuvista hyökkäyksistä ja voivat suojautua uhkia vastaan ilman heikennyksiä suorituskykyyn. Kun mahdollisesti käytössä olevissa avoimen lähdekoodin komponenteissa havaitaan uusia haavoittuvuuksia, riskikohteet voidaan löytää ja korjata nopeasti.

Yleiskatsaus sovelluksen tietoturvaan.

 

Statistiikat seurantaan.

Mitä on staattinen analyysi – SAST

SAST, eli Static Analysis Security Testing ja suomeksi koodin staattinen analyysi on yksi monista koodin tarkistustyökaluista, joita voidaan tehdä ilman ohjelmiston varsinaista suorittamista. Staattisessa analyysisä tarkastellaan ohjelmaa ei-ajoympäristössä. Tämä testausmenetelmän selkeänä etuna on, että siinä voidaan arvioida kaikenlaisia sovelluksia, sekä verkkopalveluja että muita sovelluksia, Kehittyneen mallinnuksen avulla voidaan havaita ohjelmiston syötteiden ja tulosten virheitä, joita ei voi välttämättä nähdä dynaamisen, eli esim. tuotantoympäristön kannauksen kautta. Aiemmin tämä tekniikka vaati lähdekoodia, mikä on epäkäytännöllistä, koska lähdekoodi ei usein ole käytettävissä. Lisäksi lähdekoodin tarkastelu on usein myös riittämätöntä. Veracoden staattisen analyysin palvelu arvioi binäärikoodia tai tavukoodia (käännetty ohjelma) lähdekoodin sijaan, minkä avulla yritykset voivat testata ohjelmistojaan tehokkaammin ja kattavammin. Tämä tietenkin lisää ohjelmiston tai tuotteen kokonaisturvallisuutta.

Lisää yksityiskohtia

Patentoitu teknologia

Veracoden patentoitu staattinen, binäärisovelluksen tietoturvatestauksen (SAST) tekniikka, analysoi kaiken koodin, mukaan lukien kolmansien osapuolten komponentit ja ohjelmakirjastot. SAST täydentää kehittäjien tekemiä uhkamallinnuksia ja koodinarviointeja löytäen mahdolliset koodausvirheet ja puutteet nopeammin ja edullisemmin automatisoinnin kautta. Teknologiaa käytetään tyypillisesti ohjelmistokehityksen elinkaaren alkuvaiheessa, koska ongelmien korjaaminen on helpompaa ja halvempaa ennen tuotantokäyttöä. SecDevOps hengessä, Veracode on kokonaisuus joka alkaa ensimmäisistä koodiriveistä aina CI-ympäristöön ja automatisointiin asti.

Haavoittuvuuksien metsästystä

Veraoden SAST-teknologia tunnistaa kriittiset haavoittuvuudet, kuten esim. SQL-injektiot, sivustojen väliset komentosarjat (XSS), puskurin ylivuodot, käsittelemättömät virhetilat, kovakoodatut salasanan ja mahdolliset takaovet. Se luokittelee ja priorisoi haavoittuvuudet käyttäen NIST-vakavuusasteiden mukaista standardia. Kehittäjien avuksi toimitetaan yksityiskohtaiset tiedot ja korjausehdotukset, joiden perusteella he pystyvät aloittamaan nopeasti tarvittavat toimenpiteet. Ehdotuksia tukemassa on linkit CWE-tietokantoihin, seikkaperäiset kuvaukset haavoittuvuudesta, ario korjauksen monimutkaisuudesta sekä linkitys Veracoden eLearning-portaaliin. Jos tämäkään ei riitä, voi painaa nappia ja kutsua paikalle sovellustietoturva-asiantuntijan, joka katsoo yhdessä kehittäjän kanssa juuri sitä ongelmallista tilannetta, jota ollaan ratkomassa.

Miten SAST toimii

SAST analysoi binäärikoodin luodakseen yksityiskohtaisen mallin sovelluksen data- ja ohjauspoluista. Tämän jälkeen mallia käytetään sovelluksen läpi kaikista poluista, jotka edustavat mahdollisia heikkouksia. Jos esimerkiksi sovelluksen tieto on peräisin HTTP-pyynnöstä ja etenee sovelluksen läpi ilman validointia tai puhdistusta tietokantakyselyyn saakka, tämä edustaisi SQL-injektiota. Jokainen tällainen teoreettinen polku sovelluksen sisällä analysoidaan tarkasti.

Binääripohjainen SAST antaa syvemmän näkymän

Binääripohjaisen SAST-tekniikan avulla haavoittuvuusien etsintä ja korjaaminen on entistä nopeampaa ja tarjoaa yksityiskohtaisia tietoja. Se on tarkka: staattinen analyysi tutkii sovellukset samalla tavalla kuin hyökkääjät katsovat niitä luomalla yksityiskohtaisen mallin sovelluksen tieto- ja ohjausvirroista. Toisin kuin perinteiset lähdekoodia tarkastavat ohjelmat, tämä lähestymistapa havaitsee tarkasti piilotetut uhat, kuten takaportit, joita on vaikea havaita, koska ne eivät välttämättä ole näkyvissä lähdekoodissa.

Vielä syvemmälle

Työkalu on hyvin käytännönläheinen: priorisoidut tulokset voidaan viedä tiketöintijärjestelmään, kuten esim JIRA, tai niitä voidaan tarkastella selainkäyttöliittymän kautta – tai suoraan sovelluskehittimestä. Vikojen yksityiskohdat ja korjausneuvot annetaan automaattisesti nopean korjaamisen tai ongelman kiertämisen tueksi. SAST minimoi vääriä positiivisia tuloksia. False positiviit ovat hyvin harvinaisia. Tämä lisää tuottavuutta väärien positiivisten tunnistamiseen käytettävän ajan vuoksi. Huippuluokan tietoturva-asiantuntijat tukevat Veracoden keskitettyä alustaa ja analysoivat käsin esim. mainitut false positive -tulokset. Siksi alusta oppii ja paranee jatkuvasti jokaisesta uudesta sovelluksesta jonka se tarkistaa. Käyttäjälle se tarkoittaa että voi aloittaa korjaustoimenpiteet nopeammin.

Mikä on SCA?

Veracode SCA, eli Software Composition Analysis, suojaa Java-, Javascript- ja .NET-sovelluksia avoimen lähdekoodin riskiltä tunnistamalla sovellusten käyttämien avoimen lähdekoodin kirjastojen tunnetut haavoittuvuudet. Sen lisäksi, että Veracode SCA tekee haavoittuvuuksista listan skannauksen yhteydessä, se myös hälyttää, kun uusia haavoittuvuuksia havaitaan tai tunnettujen haavoittuvuuksien riskitasoja päivitetään. Veracoden alustan yhtenä toimintona SCA tarjoaa näkymän, jossa esitetään kaikki testausten tulokset yhdessä paikassa. Lisäksi samalla alustalla voidaan tehdä käyttäjien sekä testauskäytäntöjen, lievennysten ja integraatioiden hallinta.

SourceClear

SCA voidaan tehdä käyttämällä perinteista SCA-tekniikkaa tai uutta paranneltua SouceClear -työkalua.

Source Clear tuo mukanaan muutamia selkeitä etuja:

  • SourceClear käyttää tietokantaa, jossa on 3 miljoonaan koneoppimisen avulla kerättyä haavoittuvuutta. Tämä tarkoittaa, että testi löytää ongelmat ennen kuin niille on ehditty antaa CWE-numerot, Yrityksenne tietää aina ensimmäisenä uusista ongelmista,
  • SourceClear:illa voi tehdä riippuvuusanalyysin, joka näyttää haavoittuvuudet yrityksenne ohjelmiston käyttämissä komponenteissa sekä näiden komponenttien riippuvuuksissa.
  • Korjaukseen käytettävää aikaa nopeuttaakseen SourceClear näyttää vain ne komponenttikirjastojen haavoittuvuudet, joita sovlluksessa hyödynnetään. Se ei luettele kaikkea, mitä kirjasto sisältää.

Alhaisempi lisenssiriski

Monissa avoimen lähdekoodin kirjastoissa on lisenssejä, jolloin sovelluksen käyttäminen kaupallisiin tarkoituksiin voi tulla todella kalliiksi. Veracode huomauttaa tilanteista, joissa yritys ottaa lisenssiriskin. SCA-ratkaisu kertoo, mitkä lisenssit koskevat sovellusta, joten yritys voi tehdä tarvittavat toimenpiteet riskien ratkaisemiseksi ennen tuotantokäyttöä.

Struts-kirjastot esimerkkinä

68% Java-sovelluksista, jotka hyödynsivät Struts2-kirjastoa, käyttivät vielä viikkoja havainnon jälkeen versiota, joka oli alttiina Struts-Shock-hyökkäykselle. [Lähde: Veracode State of Software Security Report.] Yritykset voivat seurata jatkuvasti sovelluksiaan uusien avoimen lähdekoodin kirjastojen haavoittuvuuksien varalta ilman uusintaskannausta. Yritykset saavat yleiskuvan koko sovellusportfolion tietoturvan tilanteesta, ei vain yhdestä sovelluksesta. Voitte tarkastella kaikkia eri testausmenetelmien havaitsemia haavoittuvuuksia yhtenäisen Veracode politiikan mukaisesti mukaan lukien SCA, staattinen analyysi SAST, dynaaminen analyysi ja tunkeutumistestaus.

Parhaat käytännöt käyttöön

Useat eri toimialojen säädökset, regulaatiot ja turvallisuuspolitiikat edellyttävät, että yritykset tunnistavat ja korjaavat tunnetut haavoittuvuudet sovelluksissa. Tällaisia vaatimuksia ovat esim. PCI DSS, OWASP Top 10, FS-ISAC, NIST ja HITRUST.

Quickly onboard and scale security training to minimize enterprise risk and meet governance and compliance requirements

Veracode’s course-based eLearning empowers software developers, testers and security leads to develop secure applications from inception to deployment, providing the critical skills they need to identify and address potential  ulnerabilities.

By using Veracode’s turnkey eLearning program customers can quickly onboard all employees, including geographically diverse development teams, with the security knowledge needed to prevent a potential breach and meet compliance requirements.

Achieve a higher level of application security awareness and proficiency among your developers with comprehensive web-based training delivered via our cloud-based platform.

Our scalable, cost-effective approach can easily be deployed across global organizations with minimal overhead. Best of all, you won’t need additional hardware, software, travel or on-site training expenses to roll out our turnkey program across your enterprise.

Details

 

Veracode’s eLearning courses, offered through our cloud-based platform, enable customers to get started quickly and to scale easily across multiple geographies and development teams. Unlike many security training offerings in the market, Veracode focuses purely on security awareness and application security training.

Security Training Courses are written for developers by developers, and draw upon years of experience with application security. Veracode’s content addresses important security concerns, such as OWASP Top 10 and PCI requirements, and provides deep expertise in secure coding for multiple languages (e.g., Java, .Net, C\C++) and architectures (e.g., Mobile, Web and Client\Server). Veracode courses also provide proactive techniques, such as Threat Modeling and Secure Architecture, that can be used in the early stages of the software development lifecycle, minimizing the number of security defects in the code.

IDE integration is Greenlight

Veracode gives you the ability to scan your code, right in your favorite IDE, while you are coding. Whether you are coding in Java, Javascript, C#, or VB.NET, Veracode Greenlight has you covered. You’ll receive positive feedback when you are correctly using secure coding practices, as well as instant insight into any security flaws that are discovered.

..but what is Greenlight?

The majority of the scans done with Veracode Greenlight complete in seconds (mileage may vary by programming language). This means you are getting feedback before you get too far, that’s the speed of DevSecOps. Veracode Greenlight scans files, classes, or small packages and delivers those results back to your IDE in seconds. It’s a personal security coach while you code, pointing out security flaws right away so you can fix them immediately.

This isn’t just about your code, this is about you! Our aim with Veracode Greenlight is to help developers around the world, such as yourself, build better and more secure code. Every day you are building the applications that are powering our entire world, and we want to make sure we are giving you the tools to be successful today and tomorrow.

  • No “Scan & Scold” – fix your flaw before you even commit your code
  • Better remediation advice with code examples
  • Positive feedback when best practices are followed
  • In line education, learning as you code
  • Become a better developer – build your career around it

Supported platforms

You work best when security tools don’t get in your way, which is why Veracode Greenlight integrates with Eclipse, IntelliJ, and Visual Studio. Before checking in your code, you will have already scanned the file you’re working on, reviewed any security flaws, triaged the results, and fixed it on the spot.

We have the integrations

Integrating has a twofold meaning – we integrate into your process and we integrate into your tools.

Ticketing And Bug Tracking Tools

Security findings are best addressed by fixing the source of the problem, in the code. But the prevailing approaches—spending all day creating bug tickets by hand, or doing a one-time import into a defect tracker only to have to update the bugs by hand afterwards—are a pain and don’t scale. Veracode’s defect tracking integrations with JIRA (including JIRA Data Center and JIRA Cloud), Visual Studio Team Services/TFS, and HP ALM not only create defect tickets but they also automatically update or close them when the code is retested.

  • CA Agile Central
  • Atlassian JIRA
  • Microsoft Team Foundation Server
  • Bugzilla
  • HPE Application Lifecycle Management

Build Systems

Make sure you catch security issues before they get further downstream by integrating Veracode into your Jenkins, Visual Studio Team Services or Team Foundation Server build or release pipelines. You can test in the pipeline or in parallel and can even stop the pipeline if security issues that violate your policy are found. Not ready for CI yet? You can use us in your Maven build too.

  • Jenkins
  • Microsoft Team Foundation Server
  • Microsoft Visual Studio Team Services
  • Atlassian Bamboo
  • Apache Ant
  • Apache Maven
  • CA Continuous Delivery Director
  • JetBrains TeamCity

Integrate much?

Yes. We integrate much. For more integrations, please visit: https://www.veracode.com/products/core-platform-and-architecture/apis-and-plugins

Static Analysis Tools for C/C++, Java, C#, .NET and More

Veracode offers the industry’s most comprehensive automated static analysis, making application development faster and more reliable. Veracode assesses binary code – compiled or “byte” code – allowing enterprises to scan 100 percent of an application, even when source code is not available for practical or proprietary considerations. Veracode is built on the software-as-a-service model, allowing organizations to access and scale security testing without the need for capital expense or investment. There is no vulnerability assessment software or hardware to purchase and no security personnel to train. Developers submit code through an online platform, and results are returned quickly. Veracode’s automated format greatly reduces the amount of effort and resources needed to perform static analysis, while greatly increasing the accuracy of assessment results.

And now for the ”more” part.. (Q3/2018)

Java

  • Java SE, Java EE, JSP
    • JDK 1.3-1.8, WebLogic 12.x, OpenJDK 1.3-1.8, IBM JDK 1.7-1.8
  • Frameworks supported for additional visibility
    • Apache Axiom, Apache Axis, Apache Axis2, Apache Commons, Apache CXF, Apache Jersey, Apache Oro, Apache Velocity, Apache Xerces, Apache XMLBeans, Google App Engine, Google Web Toolkit (GWT), Hibernate, Java Portlets, Java Servlets,
      JAX-RS, JAX-WS, JAXB, JDBC, JDOM, JSF, JSTL, Liferay, Play, Servlets, Spring Boot, Spring Core, Spring MVC, Spring Security, Struts, Tiles

.NET Languages and Technologies

  • C#, VB.NET, C++/CLI
    • NET/Windows, .NET Core, .NET Portable Class Library, NET 1.0, 1.1, 2.0, 3.0, 3.5, 4.0, 4.5, 4.6, 4.7, Core 1.0, 1.1, 2.0 (C# only)
    • Visual Studio .NET (2002), 2003, 2005, 2008, 2010, 2012, 2013, 2015, 2017 Mono 4.x
    • Visual Basic 6
  • Frameworks supported for additional visibility
    • ADO.NET, ASP.NET, ASP.NET Core, ASP.NET Core MVC, ASP.NET MVC ASP.NET Web API, Entity, Log4Net, LINQ, Microsoft Enterprise Library, .NET Compact Framework, .NET Micro Framework, .NET Remoting, Newtonsoft Json.NET,
      NHibernate, Npgsql, Oracle Data Provider for .NET (ODP.NET), SharePoint 2010-2013, Silverlight 1-5, Telerik, Web UI for ASP.NET, Universal Windows Platform, Unity Container, Windows Communication Foundation (WCF), Rich Internet Application (RIA) services, Windows Communication Foundation, Windows Identity Foundation, Windows Phone, Windows Phone Silverlight

JavaScript Libraries and Technologies

Veracode supports analyzing many client- and server-side JavaScript and TypeScript applications, including those that use HTML5 APIs, ECMAScript 2015, ECMAScript 2016, ECMAScript 2017, ECMAScript 2018, and JSX. Veracode also supports the following technologies:

  • Angular.js, Backbone.js, Bootstrap, Cheerio.js, Ember.js, jQuery, Koa.js, Node.js, React.js, SAPUI5/OpenUI5, Underscore.js, Vue.js

Mobile platforms

  • Android (AWS Mobile SDK for Android, Parse Android SDK)
  • iOS Objective C/C/C++ (5-12)
  • Kotlin (as APK)
  • Xamarin (Forms, Android, iOS, Mac)
  • JavaScript/PhoneGap (Android, iOS)
  • JavaScript/Titanium (Android)
  • JavaScript/React Native (Android, iOS)

C/C++

  • Solaris (SPARC) 2.7-2.10, Red Hat Enterprise Linux (x86), Fedora (x86), CentOS (x86), openSUSE (x86), Solaris (SPARC64), Red Hat Enterprise Linux (x86-64), Fedora (x86-64), CentOS (x86-64), openSUSE (x86-64)
  • Visual C++ 7.0 – in Visual Studio .NET 2002, Visual C++ 7.1 – in Visual Studio .NET 2003, Visual C++ 8.0 – in Visual Studio 2005, Visual C++ 9.0 – in Visual Studio 2008, Visual C++ 10.0 – in Visual Studio 2010, Visual C++ 11.0 – in Visual Studio 2012, Visual C++ 12.0 – in Visual Studio 2013, Visual C++ 14.0 – in Visual Studio 2015, Visual C++ 14.1 – in Visual Studio 2017

Mainframe

  • Enterprise COBOL for z/OS, IBM ILE COBOL, MicroFocus COBOL (Net Express), AcuCOBOL-GT, COBOL-85, SCOBOL , COBOL-2002, HP COBOL Tandem, COBOL/400, COBOL for OS/390, COBOL for OS/370, COBOL for MVS, OS/VS COBOL, VS COBOL II
  • RPG

..even more

  • PHP5 & Zend
  • Scala (+ Play & Akka)
  • Groovy (+ Grails)
  • Ruby & Ruby on Rails
  • Classic ASP
  • ColdFusion
  • Perl5 (CGI)
  • Python (+ Boto3, Cryptography, Django, Flask, httplib2, Requests, SQLAlchemy)
  • Go

Veracode’s remediation coaching and developer support services deliver a combination of expertise and best practices matched to your specific needs to help you build an efective enterprise application security program. The right combination of people, process and technology must be properly aligned to helps developers efciently incorporate secure coding skills and practices into their existing development processes.  Discovering vulnerabilities in your internal, commercial, cloud or mobile applications is simply the first step in your path to application risk management. Efective and on-going remediation, mitigation, and coaching activities must be carried out to limit the business risks posed by your software infrastructure.

Veracode Application Security Support Services packages offer a unique combination of security coaching and traditional technical and customer support functions. The support packages are designed to meet the needs of the multiple constituents that will inevitably form part of a mature organization-wide application security program. Be it developers who need detailed guidance on code changes to remediate or mitigate vulnerabilities, or third-party vendors that need advice on closing the gap with the enterprise security policy—these needs are addressed by the flexible design and value-add services included in these packages.

Ajankohtaista

Scanners - Overview of different scanners
audit
Thomas

Mitä tarkoittaa tietoturvaskannaus – 5 näkökulmaa

Vaikka yritämme tehdä erittäinkin selväksi, mitä mikäkin skanneri milloinkin tekee, kohtaamme kuitenkin aika ajoin toteamuksen ”mutta meillä on jo skanneri”. Tätä on vaikea lähteä kumoamaan. Asiantuntijaroolissa tunnen aina tässä kohtaa suurta tarvetta selittää, myyntiroolissa selittely ei välttämättä tuota suuria voittoja.

Lue lisää »
Verified by Veracode
sdlc
Thomas

Veracode’n verifioimaa koodia

Osoita sovelluskehityksesi tietoturvan erinomaisuus Veracode Verified -ohjelman avulla. Tällä tavoin teet tietoturvasta kilpailuedun – ja samalla teet ostamisen asiakkaillesi helpommaksi. Kun myynti toimii, takaat myös sen, että tietoturva saa arvoisensa aseman sovelluskehityksessä.

Lue lisää »
Veracode open source risk
sdlc
Thomas

Ymmärrä avoimen lähdekoodin riskit

Sovelluskehitystiimeille asetettavat vaatimukset ovat suuremmat kuin koskaan. Ketteryyden ja kehitysnopeuden vaatimusten jatkuvassa kasvussa, DevOpsin ja hyvin voideltujen CI/CD-järjestelmien edessä kehittäjät ovat äärettömässä tuotantopaineessa.

Lue lisää »
sdlc
Tapio Särkelä

Ohjelmistokehityksen tietoturvallisuuden tila – SOSS 2018

Veracode on äskettäin julkaissut uusimman SSOS (State of Software Security) -raporttinsa. Vuosittain julkaistava raportti sisältää kattavan analyysin yli 700 000 sovelluksen skannauksesta saaduista tuloksista, kuten analyysit haavoittuvuuksien yleisyydestä ja miten niitä on korjattu, erot toiminnassa eri toimialojen välillä sekä paljon muuta.

Lue lisää »

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.