Aikido

Deixem de classificar CVEs que nunca foram exploráveis

Aikido SCA as suas dependências de código aberto à procura de CVEs, malware, problemas de licença e de fim de vida útil (EOL). Prioriza o que está efetivamente acessível e o AutoFix transforma isso em PRs seguras e com alterações mínimas.

Seus dados não serão compartilhados · Acesso somente leitura · Não é necessário cartão de crédito
Confiado por mais de 50 mil organizações
|
Amado por mais de 100 mil desenvolvedores
|
4.7/5
O PROBLEMA

A maioria SCA identifica 2 000 CVEs e obriga-o a filtrá-las

SCA Classic SCA as suas dependências com uma base de dados de vulnerabilidades e apresenta tudo o que encontra. A maior parte não é acessível. A maior parte não é explorável. A sua equipa passa dias a fazer a triagem para corrigir um punhado de problemas.

Aikido SCA uma redução de 100% nos falsos positivos.

1. Análise ao nível das dependências
Verifica se uma dependência vulnerável é efetivamente utilizada na sua aplicação, seja de forma direta ou transitiva.
2. Análise ao nível da função
Verifica se o seu código chega à vulnerabilidade.
3. Análise contextual (em tempo de execução)
Determina a vulnerabilidade observando o comportamento do código e das dependências em contextos de execução reais.
4. análise de explorabilidade
new
Um agente avalia cada CVE com base na forma como o seu código utiliza o pacote e, em seguida, classifica-o com base em informações específicas do seu repositório, e não em dados genéricos sobre CVE.
NOVO - análise de explorabilidade

Os agentes analisam o seu código, pelo que já não existem falsos positivos

Cada CVE sinalizado é analisado tendo em conta a forma como o pacote é efetivamente utilizado no seu repositório. Outras ferramentas reduzem o ruído em 80 a 90 %. Aikido elimina Aikido totalmente os falsos positivos.

Verifica como é que o pacote vulnerável é utilizado no seu repositório, e não apenas se está instalado.
Adiciona um raciocínio específico da base de código, para além da reachability analysis confirmar a verdadeira explorabilidade.
Cada decisão é acompanhada da justificação por escrito do agente, registada num histórico completo das operações.

"O pentest do Aikido entregou descobertas abrangentes, de nível humano, em velocidade recorde e passou por uma rigorosa revisão de conformidade sem problemas."

Dan SherwoodDiretor Geral na Khaos Control Solutions

A GEA mudou de SonarQube para Aikido

Aikido nos ajuda a identificar os pontos cegos em nossa segurança que não conseguíamos abordar completamente com nossas ferramentas existentes. Tem sido um divisor de águas para nós, indo além da SCA (análise de composição de software).

Nicolai BrogaardService Owner de SAST & SCA

Leia a história
A GEA mudou de SonarQube para Aikido
BIBLIOTECAS DE AIKIDO

Aplique a correção para a vulnerabilidade CVE na versão que já está a utilizar, sem alterações que causem incompatibilidades

Aikido uma versão corrigida do mesmo pacote que consta no seu ficheiro de bloqueio. As mesmas APIs, mas sem a vulnerabilidade. Sem alterações que causem incompatibilidades e sem necessidade de reescrever o código para os seus programadores.

  • Corrigir a vulnerabilidade CVE

  • Enviar como um PR pronto para fusão

  • Proteja continuamente os seus repositórios.

Elimine os falsos positivos e aplique as correções às suas descobertas com um único clique.

SCA

O que distingue SCA Aikidode outras ferramentas

SBOMS

Visibilidade total do seu software com as SBOMs

Analise, reveja e exporte uma lista de materiais de software todo o seu inventário. Gere uma SBOM um único clique, importe SBOMs externas e faça a gestão dos riscos associados a terceiros, tudo no mesmo local.

INTEGRAÇÕES

SCA integrado em todo o seu SDLC, do IDE à produção

Uma única ferramenta para analisar IDE, Git, CI, contentores e máquinas virtuais. Elimina alertas duplicados nas diferentes fases através de resultados correlacionados.

AIKIDO INTEL

Aikido Intel pré-CVE protege você de vulnerabilidades antes da divulgação pública...

A investigação de malware e vulnerabilidades Aikido próprio Aikido deteta ameaças antes mesmo de existir um CVE, cruzando depois esses dados com o NVD, o GitHub Advisory e mais de 10 fontes externas. Isso inclui mais de 12 mil pacotes maliciosos conhecidos no npm, no PyPI, no GitHub Actions e no Maven.

Iniciar um scan gratuito

Proteja seu código, Cloud e runtime em um sistema central.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

FAQ

Perguntas frequentes sobre SCA

O que é Análise de Composição de Software (SCA) e por que devo me importar com ela em meus projetos?

Análise de composição de software (SCA) é basicamente uma verificação de saúde para suas dependências de código aberto. Ela analisa as bibliotecas e pacotes que você incorpora em seu projeto e sinaliza vulnerabilidades conhecidas de código aberto, armadilhas de licença e outros riscos. Você deve se importar porque, se estiver usando código aberto (spoiler: você está), uma dependência vulnerável pode comprometer a segurança de toda a sua aplicação. SCA ajuda a garantir que o código de terceiros em seus projetos não seja uma porta dos fundos oculta ou uma bomba-relógio.

Como o scanner SCA do Aikido realmente encontra vulnerabilidades em minhas dependências de código aberto?

Funciona como um detetive automatizado para suas dependências. O scanner SCA do Aikido identifica todas as bibliotecas e versões que você está usando (sua árvore de dependências) e as compara com um banco de dados constantemente atualizado de vulnerabilidades conhecidas (CVEs) e inteligência de ameaças de código aberto. Em termos simples: se você estiver usando uma biblioteca com uma falha de segurança conhecida ou até mesmo um pacote malicioso, o Aikido irá detectá-lo e alertá-lo. É uma análise de dependências abrangente que utiliza feeds de vulnerabilidades para identificar problemas rapidamente.

Posso integrar as verificações SCA do Aikido em meu pipeline de CI/CD para análise de dependências automatizada?

Com certeza – o SCA do Aikido se encaixa perfeitamente no seu pipeline de CI/CD. Você pode integrá-lo com GitHub Actions, GitLab CI, Jenkins, CircleCI ou qualquer ferramenta que você use, para que a análise de dependências seja executada automaticamente em cada build ou pull request. Isso significa que novas dependências vulneráveis são detectadas e reportadas antes de chegarem em produção. Em resumo, as verificações de segurança de código aberto automatizadas se tornam uma parte integrante do seu fluxo de trabalho de desenvolvimento.

O SCA do Aikido apenas reporta problemas, ou ele pode corrigir automaticamente as dependências vulneráveis para mim?

O Aikido não apenas o incomoda com dependências vulneráveis – ele ajuda a corrigi-las. Para muitos problemas, ele oferece soluções AutoFix de um clique: sugere a versão segura para a qual atualizar e pode abrir automaticamente um pull request para atualizar a dependência para você. Em outros casos, ele fornece orientação clara de remediação para que você saiba exatamente como resolver o problema. Em resumo: ele não apenas relata problemas de segurança de código aberto, mas também agiliza a correção (muitas vezes fazendo o trabalho pesado para você).

O SCA do Aikido pode gerar uma lista de materiais de software (SBOM) para minha aplicação?

Sim – o SCA do Aikido pode gerar uma lista de materiais de software (SBOM) para seu aplicativo com um clique. Ele compila uma lista completa de todos os componentes de código aberto em seu projeto e permite exportá-la em formatos padrão como CycloneDX ou SPDX (ou até mesmo um CSV simples). Este SBOM fornece a você e à sua equipe de conformidade um inventário completo do que está em seu software. É excelente para visibilidade, auditorias de conformidade e para garantir que não haja peças "desconhecidas" em sua stack.

Quais linguagens e gerenciadores de pacotes são suportados pelo scanner SCA do Aikido?

O SCA do Aikido suporta a maioria das principais linguagens de programação e seus gerenciadores de pacotes – é provável que, se for popular, seja suportado. Por exemplo, ele cobre JavaScript/TypeScript (npm, Yarn, pnpm), Python (pip, Poetry), Java/Scala/Kotlin (Maven, Gradle, sbt), .NET (NuGet), Ruby (Bundler), PHP (Composer), Go (Go modules), Rust (Cargo), Swift (CocoaPods e SwiftPM), Dart (pub), e muito mais. Ele até lida com projetos C/C++ (analisando dependências conhecidas sem a necessidade de lockfiles). Em resumo, o scanner do Aikido tem ampla cobertura de linguagens, então ele provavelmente pode analisar qualquer stack de tecnologia que você o submeta.

Quais são alguns exemplos de vulnerabilidades que o SCA do Aikido pode detectar em dependências?

Essencialmente, qualquer vulnerabilidade de código aberto conhecida em suas dependências será detectada. Por exemplo, se seu projeto incluir uma biblioteca afetada por Log4Shell (a infame vulnerabilidade do Log4j), o SCA do Aikido a sinalizará. O mesmo vale para algo como o bug Heartbleed do OpenSSL – se essa versão vulnerável estiver presente, você saberá. Ele também detecta CVEs menos conhecidas e até mesmo pacotes maliciosos (como pacotes npm/PyPI comprometidos); se houver uma falha conhecida ou backdoor em uma dependência, o Aikido a detectará.

Como o SCA do Aikido se compara a outras ferramentas como Snyk ou GitHub Dependabot para análise de dependências?

O SCA do Aikido oferece cobertura semelhante à análise de código aberto do Snyk, mas com muito menos ruído. O Snyk é poderoso, mas muitas vezes bombardeia você com uma tonelada de alertas (incluindo problemas de baixa prioridade), enquanto o Aikido auto-prioriza e mostra apenas os riscos reais – menos ruído, mais sinal. Ao contrário do Dependabot, que simplesmente automatiza PRs de atualização de versão para vulnerabilidades conhecidas, o Aikido oferece contexto completo sobre vulnerabilidades, analisa pacotes maliciosos, verifica licenças e fornece correções com um clique. Em resumo, você obtém a minuciosidade de nível Snyk sem a fadiga de alertas, e muito mais capacidade do que ferramentas básicas como o Dependabot.

Se eu já uso o Dependabot (ou ferramentas similares), ainda preciso da análise SCA do Aikido?

Pense no Dependabot como um bom começo, mas não a história completa. O Dependabot atualizará dependências com problemas conhecidos, mas não detectará tudo – por exemplo, ele pode perder um pacote malicioso ou uma vulnerabilidade que ainda não tem uma atualização disponível. O SCA do Aikido oferece uma análise de segurança de código aberto muito mais aprofundada: ele encontra problemas que escapam ao Dependabot, fornece detalhes sobre cada vulnerabilidade e até mesmo as corrige automaticamente. Em resumo, se você deseja uma análise de dependências minuciosa e não apenas a automação básica de atualização, você ainda vai querer o Aikido cuidando de você.