La mayoría de las herramientas de seguridad hacen perder tiempo a los desarrolladores. Nuestra misión es solucionar esto.
A los desarrolladores de aplicaciones no se les paga por preocuparse por la seguridad. Su rendimiento se mide por la velocidad a la que pueden añadir valor al negocio a través de nuevas funcionalidades o mejoras.
Esto convierte a las herramientas de seguridad tradicionales en un obstáculo, ya que no están diseñadas para desarrolladores y, además, no están pensadas para ser útiles. Su trabajo es simplemente mostrar una lista masiva de alertas de seguridad, dejando al desarrollador la tarea de averiguar el resto.
En Aikido, nuestra misión es hacer que la seguridad de las aplicaciones sea lo más rápida y sencilla posible, y una de las formas más importantes de lograrlo es reduciendo el ruido y los falsos positivos que hacen perder tiempo a los desarrolladores y causan retrasos en la entrega de correcciones de seguridad.
Esta publicación te mostrará lo que hace Aikido para ofrecer una solución a los desarrolladores que sufren el Síndrome de Fatiga por Alertas.
Reduciendo el Ruido
En su famosa canción, "The Gambler", Kenny Rogers lo capturó bastante bien:
“el secreto para sobrevivir, es saber qué desechar y saber qué conservar.”
El impacto más significativo que puedes tener en la relación señal/ruido es mostrar a los desarrolladores solo los CVEs y las alertas de seguridad sobre las que deben actuar, e ignorar el resto.
Así es como Aikido ignora de forma inteligente las alertas de seguridad y los CVEs irrelevantes:
Dependencias solo para desarrollo
Por defecto, Aikido no informará sobre vulnerabilidades para dependencias marcadas solo para instalación en entornos de desarrollo, ya que no deberían estar presentes en entornos de staging o producción.
CVEs inválidos o CVEs sin solución
Mostrar un CVE sin una solución es solo una distracción. Por lo tanto, Aikido los mueve temporalmente a una lista de problemas ignorados hasta que una solución esté disponible, antes de mostrarlos en el panel de control.
Código inalcanzable
La inteligencia de código de Aikido y su motor de alcanzabilidad ignorarán un CVE si una función vulnerable no es invocada en la base de código.
Esto reduce el ruido, especialmente para grandes librerías con muchas dependencias, como TensorFlow.
Secretos Caducados o Revocados
Aikido ignorará los secretos que hayan sido verificados como caducados o revocados, o que parezcan ser variables. Aikido verifica de forma segura la validez de los tipos de secretos conocidos enviando una solicitud a un endpoint de API que requiere autorización y que no produce datos sensibles.
Reglas de Ignorado Manual
Puedes configurar Aikido para ignorar vulnerabilidades bajo ciertas condiciones, por ejemplo, ignorar la notificación para rutas específicas en un repositorio.
Deduplicación
Dado que la mayoría de las empresas construyen su infraestructura de seguridad a partir de diversas fuentes, es común que múltiples sistemas detecten la misma alerta o CVE; además, es frecuente que las herramientas tradicionales detecten el mismo CVE varias veces dentro de un único repositorio. ¡Menudo ruido!
Dado que Aikido es una plataforma todo en uno que te ofrece una visión unificada de todos los problemas de seguridad, solo verás una única alerta de CVE por cada repositorio, con subincidencias que detallan la ubicación de cada vulnerabilidad.
Potenciando la Señal con Ajuste de Sensibilidad Contextual
Una incidencia de seguridad descubierta en un repositorio que maneja datos sensibles debería puntuarse de forma diferente a un repositorio de uso exclusivamente interno que no persiste ningún dato.
Aikido proporciona varios indicadores contextuales para cada repositorio, ayudando a descubrir más riesgos de seguridad y ponderando adecuadamente la puntuación de gravedad final de una incidencia.
Por ejemplo, al añadir un nombre de dominio, Aikido puede realizar análisis específicos en busca de problemas como vulnerabilidades SSL, configuraciones incorrectas de cookies, si se ha aplicado un CSP y cross-site scripting .
Ejemplos contextuales adicionales incluyen si la aplicación tiene acceso a internet y en qué entornos se despliega la aplicación.
Potenciando la Señal para el Riesgo de Explotación
Aikido utiliza indicadores en tiempo real para rastrear la probabilidad de que un CVE sea explotado en la práctica, como casos confirmados de explotación, código público que documenta cómo realizar la explotación, y cualquier preocupación de infraestructura cloud específica del cliente que pueda hacerlos particularmente vulnerables.
Y dado que Aikido monitoriza tanto tu código como tu infraestructura cloud, puede aumentar la gravedad de los problemas de "combinación tóxica" derivados de condiciones específicas bajo las cuales se aloja tu aplicación, por ejemplo, las instancias de AWS que utilizan la versión 1 de la API IMDS son más vulnerables a las explotaciones SSRF que pueden exponer las credenciales de AWS.
Resumen
Las herramientas de seguridad tradicionales no se preocupan por la productividad de los desarrolladores. Están más que contentas de enterrar un repositorio bajo una pila de falsos positivos, desperdiciando el tiempo de los desarrolladores, que podría haberse empleado mejor en resolver realmente los problemas de seguridad.
Lo que diferencia a Aikido es que vemos el vínculo entre la productividad del desarrollador y la seguridad. Al eliminar alertas irrelevantes y CVEs, las amenazas genuinas reciben más atención y, como resultado, las correcciones se aplican más rápido.
Esta situación beneficiosa para desarrolladores y seguridad es nuestra razón de ser y es cómo estamos curando el Síndrome de Fatiga por Alertas de Seguridad para nuestros clientes.
¿Quiere verlo en acción? Regístrese para escanear sus primeros repositorios y obtener sus primeros resultados en menos de 2 minutos.
Protege tu software ahora.
.jpg)
.avif)
