A maioria das ferramentas de segurança desperdiça o tempo dos programadores. Estamos numa missão para corrigir isto.
Os programadores de aplicações não são pagos para se preocuparem com a segurança. O seu desempenho é medido pela velocidade a que conseguem acrescentar valor à empresa através de novas funcionalidades ou melhorias.
Isto torna as ferramentas de segurança tradicionais um obstáculo, uma vez que não foram concebidas para os programadores - além disso, não foram concebidas para serem úteis. A sua função é simplesmente mostrar uma lista enorme de alertas de segurança, deixando ao programador a tarefa de descobrir o resto.
Na Aikido, a nossa missão é tornar a segurança das aplicações tão rápida e indolor quanto possível, e uma das formas mais importantes de o fazer é reduzindo o ruído e os falsos positivos que fazem perder tempo aos programadores e causam atrasos no envio de correcções de segurança.
Este post irá mostrar-lhe o que o Aikido faz para oferecer uma cura para os Desenvolvedores que sofrem de Síndrome de Fadiga de Alerta.
Reduzir o ruído
Na sua famosa canção, "The Gambler", Kenny Rogers captou-o muito bem:
"O segredo para sobreviver, é saber o que deitar fora e o que guardar."
O impacto mais significativo que pode ter no rácio sinal/ruído é mostrar aos programadores apenas os CVE e os alertas de segurança em que devem atuar e ignorar o resto.
Eis como o Aikido ignora de forma inteligente alertas de segurança e CVE irrelevantes:
Dependências somente de desenvolvimento
Por predefinição, o Aikido não comunicará vulnerabilidades para dependências marcadas apenas para instalação em ambientes de desenvolvimento, uma vez que não devem estar presentes em ambientes de teste ou produção.
CVEs inválidos ou CVEs sem correção
Mostrar um CVE sem uma correção é apenas uma distração. Por isso, o Aikido move-os temporariamente para uma lista de problemas ignorados até que uma correção esteja disponível antes de aparecer no painel de controlo.
Código inacessível
A inteligência de código e o mecanismo de acessibilidade do Aikido ignorarão um CVE se uma função vulnerável não for chamada na base de código.
Isso diminui o ruído, especialmente para bibliotecas grandes com muitas dependências, como o TensorFlow.
Segredos caducados ou revogados
O Aikido irá ignorar segredos que tenham sido verificados como expirados ou revogados, ou que pareçam ser variáveis. O Aikido verifica com segurança a validade dos tipos de segredos conhecidos enviando um pedido a um ponto final da API que requer autorização e que não produz dados sensíveis.
Regras de ignorar manuais
Pode configurar o Aikido para ignorar vulnerabilidades em determinadas condições, por exemplo, ignorar relatórios para caminhos específicos num repositório.
Desduplicação
Como a maioria das empresas reúne a sua infraestrutura de segurança a partir de várias fontes diferentes, é comum que vários sistemas apresentem o mesmo alerta ou CVE - além disso, é comum que as ferramentas tradicionais apresentem o mesmo CVE várias vezes num único repositório. Isto é que é ruído!
Uma vez que o Aikido é uma plataforma tudo-em-um que lhe oferece um único painel de controlo de todas as questões de segurança, apenas verá um único alerta CVE para cada repositório com subquestões que listam a localização de cada vulnerabilidade.
Reforçar o sinal com o ajuste da sensibilidade contextual
Um problema de segurança descoberto num repositório que lida com dados sensíveis deve ser classificado de forma diferente de um repositório apenas interno que não persiste dados.
O Aikido fornece vários indicadores contextuais para cada repositório, ajudando a descobrir mais riscos de segurança e a ponderar adequadamente a pontuação final de gravidade de um problema.
Por exemplo, ao adicionar um nome de domínio, o Aikido pode efetuar análises orientadas para problemas como vulnerabilidades SSL, configurações incorrectas de cookies, se tiver sido aplicada uma CSP e ataques de XSS (cross-site scripting).
Outros exemplos contextuais incluem se a aplicação tem acesso à Internet e em que ambientes a aplicação está implementada.
Aumentar o sinal de risco de exploração
O Aikido utiliza indicadores em tempo real para controlar a probabilidade de um CVE ser explorado na natureza, tais como casos confirmados de exploração, código público que documenta como efetuar a exploração e quaisquer preocupações específicas da infraestrutura de nuvem do cliente que possam torná-lo particularmente vulnerável.
E como o Aikido monitoriza o seu código e a infraestrutura da nuvem, pode aumentar a gravidade dos problemas de "combinação tóxica" resultantes de condições específicas em que a sua aplicação está alojada, por exemplo, as instâncias AWS que utilizam a versão 1 da API IMDS são mais vulneráveis a explorações SSRF que podem expor as credenciais AWS.
Resumo
As ferramentas de segurança tradicionais não se preocupam com a produtividade do desenvolvedor. Ficam mais do que satisfeitas em enterrar um repositório numa pilha de falsos positivos, desperdiçando o tempo dos programadores que poderia ter sido mais bem empregue na resolução de problemas de segurança.
O que torna o Aikido diferente é o facto de vermos a ligação entre a produtividade dos programadores e a segurança. Ao remover alertas irrelevantes e CVEs, as ameaças genuínas recebem mais atenção e, como resultado, as correcções são aplicadas mais rapidamente.
Esta situação vantajosa para os programadores e para a segurança é o nosso objetivo e é a forma como estamos a curar a Síndrome de Fadiga dos Alertas de Segurança para os nossos clientes.
Quer vê-lo em ação? Registe-se para analisar os seus primeiros repositórios e obter os seus primeiros resultados em menos de 2 minutos.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)