A maioria das ferramentas de segurança desperdiça o tempo dos desenvolvedores. Estamos em uma missão para corrigir isso.
Desenvolvedores de aplicações não são pagos para se preocupar com segurança. Seu desempenho é medido pela velocidade com que podem agregar valor ao negócio por meio de novos recursos ou melhorias.
Isso torna as ferramentas de segurança tradicionais um obstáculo, pois não são construídas para desenvolvedores — além disso, não são projetadas para serem úteis. O trabalho delas é simplesmente exibir uma lista massiva de alertas de segurança, deixando para o desenvolvedor descobrir o restante.
Na Aikido, nossa missão é tornar a proteção de aplicações o mais rápida e indolor possível, e uma das formas mais importantes de fazer isso é reduzindo o ruído e os falsos positivos que desperdiçam o tempo dos desenvolvedores e causam atrasos na entrega de correções de segurança.
Este post mostrará o que a Aikido faz para oferecer uma solução para Desenvolvedores que sofrem da Síndrome de Fadiga de Alertas.
Reduzindo o Ruído
Em sua famosa canção, "The Gambler", Kenny Rogers capturou isso muito bem:
“o segredo para sobreviver é saber o que descartar e o que manter.”
O impacto mais significativo que você pode ter na relação sinal-ruído é mostrar aos desenvolvedores apenas as CVEs e alertas de segurança sobre os quais eles devem agir, ignorando o restante.
Veja como a Aikido ignora de forma inteligente alertas de segurança e CVEs irrelevantes:
Dependências Apenas para Desenvolvimento
Por padrão, a Aikido não reportará vulnerabilidades para dependências marcadas apenas para instalação em ambientes de desenvolvimento, pois elas não deveriam estar presentes em ambientes de staging ou produção.
CVEs Inválidos ou CVEs Sem uma Correção
Mostrar uma CVE sem uma correção é apenas uma distração. Por isso, a Aikido move temporariamente essas para uma lista de problemas ignorados até que uma correção esteja disponível, antes de aparecerem no dashboard.
Código Inalcançável
A inteligência de código da Aikido e seu reachability engine ignorarão uma CVE se uma função vulnerável não for chamada na base de código.
Isso diminui o ruído, especialmente para grandes bibliotecas com muitas dependências, como o TensorFlow.
Secrets Expirados ou Revogados
O Aikido ignorará Secrets que foram verificados como expirados ou revogados, ou que parecem ser variáveis. O Aikido verifica com segurança a validade de tipos de Secrets conhecidos enviando uma requisição a um endpoint de API que requer autorização e que não produz dados sensíveis.
Regras Manuais de Ignorar
Você pode configurar a Aikido para ignorar vulnerabilidades sob certas condições, por exemplo, ignorar relatórios para caminhos específicos em um repositório.
Deduplicação
Como a maioria das empresas monta sua infraestrutura de segurança a partir de diversas fontes diferentes, é comum que múltiplos sistemas apresentem o mesmo alerta ou CVE — além disso, é comum que ferramentas tradicionais apresentem o mesmo CVE várias vezes dentro de um único repositório. Que ruído!
Como a Aikido é uma plataforma all-in-one que oferece uma visão unificada de todos os problemas de segurança, você verá apenas um único alerta de CVE para cada repositório, com subproblemas listando a localização de cada vulnerabilidade.
Ampliando o Sinal com Ajuste de Sensibilidade Contextual
Uma falha de segurança descoberta em um repositório que lida com dados sensíveis deve ser pontuada de forma diferente de um repositório apenas interno que não persiste dados.
A Aikido fornece vários indicadores contextuais para cada repositório, ajudando a descobrir mais riscos de segurança e a ponderar adequadamente a pontuação final de severidade de um problema.
Por exemplo, ao adicionar um nome de domínio, a Aikido pode realizar varreduras direcionadas para problemas como vulnerabilidades SSL, configurações incorretas de cookies, se um CSP foi aplicado e ataques de cross-site scripting (XSS).
Exemplos contextuais adicionais incluem se a aplicação tem acesso à internet e em quais ambientes ela está implantada.
Ampliando o Sinal para Risco de Exploração
A Aikido usa indicadores em tempo real para rastrear a probabilidade de uma CVE ser explorada na prática, como casos confirmados de exploração, código público documentando como realizar a exploração e quaisquer preocupações específicas da infraestrutura Cloud do cliente que possam torná-los particularmente vulneráveis.
E como a Aikido monitora tanto seu código quanto sua infraestrutura Cloud, ela pode aumentar a severidade de problemas de "combinação tóxica" decorrentes de condições específicas sob as quais sua aplicação está hospedada, por exemplo, instâncias AWS usando a versão 1 da API IMDS são mais vulneráveis a exploits SSRF que podem expor Credenciais AWS.
Resumo
As ferramentas de segurança tradicionais não se importam com a produtividade do desenvolvedor. Elas ficam mais do que felizes em soterrar um repositório em uma pilha de falsos positivos, desperdiçando o tempo dos desenvolvedores que poderia ter sido melhor empregado na resolução de problemas de segurança.
O que torna a Aikido diferente é que vemos a ligação entre a produtividade do desenvolvedor e a segurança. Ao remover alertas e CVEs irrelevantes, as ameaças genuínas recebem mais atenção e, como resultado, as correções são aplicadas mais rapidamente.
Este cenário de ganha-ganha para desenvolvedores e segurança é o nosso propósito e é assim que estamos curando a Síndrome de Fadiga de Alertas de Segurança para nossos clientes.
Quer ver em ação? Cadastre-se para escanear seus primeiros repositórios e obter seus primeiros resultados em menos de 2 minutos.
