A maioria das ferramentas de segurança desperdiça o tempo dos desenvolvedores. Estamos em uma missão para corrigir isso.
Desenvolvedores de aplicações não são pagos para se preocupar com segurança. Seu desempenho é medido pela velocidade com que podem agregar valor ao negócio por meio de novos recursos ou melhorias.
Isso torna as ferramentas de segurança tradicionais um obstáculo, pois não são construídas para desenvolvedores — além disso, não são projetadas para serem úteis. O trabalho delas é simplesmente exibir uma lista massiva de alertas de segurança, deixando para o desenvolvedor descobrir o restante.
Na Aikido, a nossa missão é tornar a proteção de aplicações o mais rápida e simples possível, e uma das formas mais importantes de o fazer é reduzindo o ruído e os falsos positivos que desperdiçam o tempo dos programadores e causam atrasos no envio de correções de segurança.
Esta publicação irá mostrar o que Aikido para oferecer uma cura para os programadores que sofrem da síndrome da fadiga de alertas.
Reduzindo o Ruído
Em sua famosa canção, "The Gambler", Kenny Rogers capturou isso muito bem:
“o segredo para sobreviver é saber o que descartar e o que manter.”
O impacto mais significativo que você pode ter na relação sinal-ruído é mostrar aos desenvolvedores apenas as CVEs e alertas de segurança sobre os quais eles devem agir, ignorando o restante.
Veja como Aikido ignora Aikido alertas de segurança irrelevantes e CVEs:
Dependências Apenas para Desenvolvimento
Por predefinição, Aikido não Aikido vulnerabilidades para dependências marcadas apenas para instalação em ambientes de desenvolvimento, uma vez que estas não devem estar presentes em ambientes de teste ou produção.
CVEs Inválidos ou CVEs Sem uma Correção
Mostrar um CVE sem uma correção é apenas uma distração. Por isso, Aikido move Aikido esses itens para uma lista de problemas ignorados até que uma correção esteja disponível, antes de exibi-los no painel.
Código Inalcançável
O motor de inteligência e acessibilidade do código Aikido irá ignorar um CVE se uma função vulnerável não for chamada na base de código.
Isso diminui o ruído, especialmente para grandes bibliotecas com muitas dependências, como o TensorFlow.
Secrets expirados ou revogados
O Aikido ignorará Secrets que foram verificados como expirados ou revogados, ou que parecem ser variáveis. O Aikido verifica com segurança a validade de tipos de Secrets conhecidos enviando uma requisição a um endpoint de API que requer autorização e que não produz dados sensíveis.
Regras Manuais de Ignorar
Você pode configurar Aikido ignorar vulnerabilidades sob certas condições, por exemplo, ignorar relatórios para caminhos específicos em um repositório.
Deduplicação
Como a maioria das empresas monta sua infraestrutura de segurança a partir de diversas fontes diferentes, é comum que múltiplos sistemas apresentem o mesmo alerta ou CVE — além disso, é comum que ferramentas tradicionais apresentem o mesmo CVE várias vezes dentro de um único repositório. Que ruído!
Como Aikido uma plataforma completa que oferece uma visão única de todas as questões de segurança, você verá apenas um único alerta CVE para cada repositório, com subquestões listando a localização de cada vulnerabilidade.
Ampliando o Sinal com Ajuste de Sensibilidade Contextual
Uma falha de segurança descoberta em um repositório que lida com dados sensíveis deve ser pontuada de forma diferente de um repositório apenas interno que não persiste dados.
Aikido vários indicadores contextuais para cada repositório, ajudando a descobrir mais riscos de segurança e ponderando adequadamente a pontuação final de gravidade de um problema.
Por exemplo, ao adicionar um nome de domínio, Aikido realizar varreduras direcionadas para problemas como vulnerabilidades SSL, configurações incorretas de cookies, se um CSP foi aplicado e cross-site scripting .
Exemplos contextuais adicionais incluem se a aplicação tem acesso à internet e em quais ambientes ela está implantada.
Ampliando o Sinal para Risco de Exploração
Aikido indicadores em tempo real para rastrear a probabilidade de um CVE ser explorado em ambiente real, como casos confirmados de exploração, código público que documenta como realizar a exploração e quaisquer preocupações específicas do cliente com a infraestrutura em nuvem que possam torná-lo particularmente vulnerável.
E como Aikido tanto o seu código quanto a infraestrutura em nuvem, ele pode aumentar a gravidade dos problemas de "combinação tóxica" decorrentes de condições específicas nas quais a sua aplicação está hospedada. Por exemplo, instâncias AWS que utilizam a API IMDS versão 1 são mais vulneráveis a explorações SSRF, que podem expor credenciais AWS.
Resumo
As ferramentas de segurança tradicionais não se importam com a produtividade do desenvolvedor. Elas ficam mais do que felizes em soterrar um repositório em uma pilha de falsos positivos, desperdiçando o tempo dos desenvolvedores que poderia ter sido melhor empregado na resolução de problemas de segurança.
O que torna Aikido é que vemos a ligação entre a produtividade do programador e a segurança. Ao remover alertas irrelevantes e CVEs, as ameaças genuínas recebem mais atenção e, como resultado, as correções são aplicadas mais rapidamente.
Este cenário de ganha-ganha para desenvolvedores e segurança é o nosso propósito e é assim que estamos curando a Síndrome de Fadiga de Alertas de Segurança para nossos clientes.
Quer ver em ação? Cadastre-se para escanear seus primeiros repositórios e obter seus primeiros resultados em menos de 2 minutos.
Proteja seu software agora
.jpg)
.avif)
