TL;DR Fizemos uma parceria com a TuxCare para que você possa corrigir vulnerabilidades em dependências legadas instantaneamente, sem refatorações ou upgrades arriscados. Mantenha-se seguro, em conformidade e continue desenvolvendo sem concessões. Leia para o lançamento completo, ou confira nossa documentação para se aprofundar.
À medida que as equipes de engenharia escalam, gerenciar vulnerabilidades em bibliotecas de terceiros torna-se um dos maiores obstáculos para entregar com segurança e rapidez. Quando pacotes populares de código aberto atingem o fim de vida (EOL), as equipes de segurança e desenvolvimento frequentemente se encontram em desacordo: as equipes de segurança pressionam por upgrades imediatos para abordar CVEs, enquanto os desenvolvedores enfrentam mudanças disruptivas que podem atrasar a entrega por semanas ou meses.
Atualizar dependências centrais não se trata apenas de incrementos de versão; pode significar refatorações profundas, reescritas de aplicações e testes extensivos. Para muitas organizações, essa troca entre segurança e velocidade cria um impasse operacional.
O poder da parceria entre Aikido e TuxCare
Para resolver isso, a Aikido e a TuxCare uniram forças para oferecer Suporte de Ciclo de Vida Estendido (ELS) diretamente através do Autofix da Aikido. Essa parceria combina os fluxos de trabalho de remediação automatizada da Aikido com a expertise da TuxCare em fornecer pacotes endurecidos e continuamente corrigidos para bibliotecas EOL.
A TuxCare já resolveu mais de 5.000 CVEs em software de código aberto, tornando-os um parceiro confiável em segurança pós-EOL. Ao integrar pacotes ELS diretamente no Autofix, a Aikido ajuda as equipes a proteger dependências legadas e a continuar avançando sem grandes mudanças de versão ou reescritas disruptivas.
.png)
Como funciona
Quando a Aikido escaneia sua aplicação, ela identifica dependências desatualizadas e expõe vulnerabilidades conhecidas. Em vez de exigir que você atualize para a versão principal mais recente (e potencialmente disruptiva), a Aikido agora sugere um pacote ELS seguro mantido pela TuxCare.
Esses pacotes ELS são substituições diretas (drop-in replacements). Por exemplo, equipes usando a v1 não mantida do SnakeYAML podem migrar para 1.33.tuxcare.1 para corrigir CVEs críticos sem migrar para 2.x. O mesmo princípio se aplica a outros pacotes amplamente utilizados como log4j 1.x, que está fora de manutenção desde 2015, mas permanece comum em bases de código empresariais.
O Aikido Autofix gera um pull request pronto para merge que atualiza sua dependência para a versão ELS e inclui qualquer configuração de repositório necessária. As equipes podem resolver problemas de segurança imediatamente, sem introduzir instabilidade ou atrasar o trabalho de funcionalidades.
.png)
Removendo o atrito entre as equipes de segurança e desenvolvimento
Preencher a lacuna entre segurança e desenvolvimento requer soluções que respeitem ambas as prioridades: postura de segurança robusta e entrega contínua. A abordagem integrada da Aikido e da TuxCare permite que as equipes:
- Evite upgrades disruptivos: Proteja dependências sem grandes refatorações ou breaking changes.
- Acelere a resolução de CVEs: Corrija vulnerabilidades em dias, em vez de semanas ou meses.
- Mantenha a conformidade: Aborde os riscos de pacotes EOL para atender aos requisitos regulatórios e passar em auditorias.
- Reduza a sobrecarga de engenharia: Libere a capacidade da equipe para focar em melhorias de produto, em vez de "apagar incêndios" com atualizações de dependências.
Exemplo de caso de uso: Protegendo projetos Java com ELS
Em um projeto Java típico, atualizar uma dependência crítica como SnakeYAML ou log4j para uma nova versão principal pode levar semanas de tempo de engenharia, testes extensivos e implantações de produção arriscadas.
Com ELS, as equipes podem adotar uma versão reforçada (por exemplo, log4j 1.2.17.tuxcare.1) que corrige CVEs conhecidos, tudo sem alterar a lógica da aplicação. Isso significa que os problemas de segurança são resolvidos mais rapidamente, o esforço de engenharia é minimizado e os lançamentos permanecem no cronograma.
O futuro do código legado seguro
Na Aikido, acreditamos que os desenvolvedores não deveriam ter que escolher entre velocidade e segurança. Nossa parceria com a TuxCare é um grande passo para tornar a segurança pós-EOL prática e escalável, para que você possa se manter focado em construir.
Este é apenas o começo. O suporte a ELS está atualmente disponível para Java, com linguagens adicionais, incluindo JavaScript, Python, .NET, PHP e Ruby, em breve.
Saiba mais sobre como a Aikido e a TuxCare podem ajudar você a proteger seu código legado sem atrasar seu roadmap. Comece aqui →
Proteja seu software agora
