Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Viime kesänä julkaistu GitLabin tutkimusraportti (2019 Global Developer Report) nosti esille muutamia tärkeitä teemoja: tietoturvallinen koodi, näkyvyyden kasvattaminen sekä yhä nopeammat kehityssyklit ja usein toistuvat käyttöönotot.

Veracode on nyt tavallaan vastannut kehittäjien esittämiin teemoihin ja julkisti äskettäin uudistetun staattisen analyysin (SAST)  skannerin. Tietoturvatestauksen pitää pysyä mukana prosessissa, jotta se ei hidasta kehitystyötä, vaan antaa sille jopa vauhtia.

Veracoden stattisen analyysiin kehitettiin aivan uusi skannausmenetelmä, jonka avulla skannaukset voidaan integroida ja optimoida yhä paremmin osaksi kehitysprosessia. Kahden aiemman skannausmenetelmän, IDE Scan ja Policy Scan, ohella Pipeline Scan tekee tietoturvasta saumattoman osan kehitysprosessia.

Veracode Static Analysis family

Staattisen analyysin skannausmenetelmät

IDE Scan - Develop

IDE Scanin (entinen Greenlight) avulla koodari saa välittömästi palautteen työstämänsä koodiin mahdollisesti tulleista haavoittuvuuksista tai muista tietoturvaongelmista. Skannaus vie vain muutamia sekunteja, jolloin koodaaja voi korjata virheet nopeasti. IDE Scan integroituu CI-alustaa ja näyttää mahdolliset ongelmat suoraan koodissa, jolloin koodari saa välittömän visuaalisen palautteen. Veracoden mukaan IDE Scania käyttävissä yrityksissä koodausvirheiden määrää on laskenut jopa 60 prosenttia.

Policy Scan - Deploy

Policy Scan on staattisen analyysin keskeinen menetelmä. Skannauksen avulla varmistetaan, että julkaistava sovelluspaketti täyttää yrityksen asettamat tietoturvavaatimukset. Tulokset esitetään selkeästi ja visuaalisesti clear/pass -tuloksina. Tulosten avulla kehitystiimit ja kehityksestä vastaava johto saavat selkeän palautteen sovelluksen tietoturvan tilasta. Skannaukseen kuluvan ajan mediaani on n. 8 minuuttia. Aika toki vaihtelee sovelluksen koon, ohjelmointikielen ja tehtyjen muutosten mukaan.

Jokainen em. skannauksista käyttää Veracoden staattisen analyysin alustaa, jolla tehtiin 7 miljoonaa skannausta vuonna 2019. Vääriä (false positive) havaintoja oli vain 1.1 prosenttia.

Lisätietoja esim. Veracoden staattisen analyysin teknisestä dokumentaatiosta

Pipeline Scan - Integrate

Pipeline Scan on täysin uusi skannausmenetelmä, jota käytetään aina kun sovelluksesta tehdään ns. build. Pipeline Scan on tarkoitettu kehitystiimin työkaluksi, joka integroidaan CI-alustaan ja skannaus voidaan tehdä jokaisen commitin jälkeen. Skannausajan mediaani on n. 90 sekuntia.

Pipeline Scan ei tuota virallisia skannaustuloksia tai historiatietoa eikä se hyödynnä asetettuja politiikoita. Sen tarkoitus onkin olla pikaisin mahdollinen vilkaisu nykytilanteeseen. Buildi voi merkata epäonnistuneeksi jos siitä löytyy vakavia haavoittuvuuksia. Skanneri käyttää CWE-luokituksen mukaista asteikkoa. Integrointi voidaan tehdä useimpiin CI-alustoihin.

Veracode pipeline scan results

LATAA:

Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.