La mayoría de las herramientas de seguridad hacen perder el tiempo a los desarrolladores. Tenemos la misión de solucionarlo.
A los desarrolladores de aplicaciones no se les paga para que se preocupen por la seguridad. Su rendimiento se mide por la velocidad a la que pueden añadir valor a la empresa mediante nuevas funciones o mejoras.
Esto convierte a las herramientas de seguridad tradicionales en un obstáculo, ya que no están diseñadas para desarrolladores y, además, no están diseñadas para ser útiles. Su trabajo consiste simplemente en mostrar una lista masiva de alertas de seguridad, dejando que el desarrollador descubra el resto.
En Aikido, nuestra misión es hacer que la seguridad de las aplicaciones sea lo más rápida y sencilla posible, y una de las formas más importantes de conseguirlo es reduciendo el ruido y los falsos positivos que hacen perder el tiempo a los desarrolladores y provocan retrasos en el envío de las correcciones de seguridad.
Este post le mostrará lo que el Aikido hace para ofrecer una cura para los Desarrolladores que sufren del Síndrome de Fatiga por Alerta.
Reducir el ruido
En su famosa canción "The Gambler", Kenny Rogers lo captó bastante bien:
"El secreto para sobrevivir es saber qué tirar y qué conservar".
El impacto más significativo que puede tener en la relación señal-ruido es mostrar a los desarrolladores únicamente los CVE y las alertas de seguridad sobre las que deben actuar e ignorar el resto.
Así es como Aikido ignora de forma inteligente las alertas de seguridad y los CVE irrelevantes:
Dependencias de desarrollo
Por defecto, Aikido no informará de vulnerabilidades para las dependencias marcadas sólo para su instalación en entornos de desarrollo, ya que no deben estar presentes en entornos de staging o producción.
CVE no válidos o sin corrección
Mostrar una CVE sin una solución es sólo una distracción. Por lo tanto, Aikido los mueve temporalmente a una lista de problemas ignorados hasta que se disponga de una solución antes de que aparezcan en el panel de control.
Código inalcanzable
La inteligencia de código y el motor de accesibilidad de Aikido ignorarán una CVE si no se llama a una función vulnerable en la base de código.
Esto disminuye el ruido, especialmente para grandes bibliotecas con muchas dependencias, como TensorFlow.
Secretos caducados o revocados
Aikido ignorará los secretos que hayan sido verificados como caducados o revocados, o que parezcan ser variables. Aikido verifica de forma segura la validez de los tipos de secretos conocidos enviando una solicitud a un punto final de la API que requiera autorización y que no produzca datos sensibles.
Reglas de ignorar manuales
Puede configurar Aikido para ignorar las vulnerabilidades bajo ciertas condiciones, por ejemplo, ignorar los informes para rutas específicas en un repositorio.
Deduplicación
Dado que la mayoría de las empresas reúnen su infraestructura de seguridad a partir de varias fuentes diferentes, es habitual que varios sistemas muestren la misma alerta o CVE; además, es habitual que las herramientas tradicionales muestren el mismo CVE varias veces dentro de un mismo repositorio. Eso sí que es ruido.
Dado que Aikido es una plataforma todo-en-uno que le ofrece un único panel de vidrio a través de todos los problemas de seguridad, sólo verá una única alerta CVE para cada repositorio con sub-temas que enumeran la ubicación de cada vulnerabilidad.
Potenciar la señal con el ajuste de sensibilidad contextual
Un problema de seguridad descubierto en un repositorio que maneja datos sensibles debería puntuarse de forma diferente a un repositorio sólo interno que no persiste datos en absoluto.
Aikido proporciona varios indicadores contextuales para cada repositorio, lo que ayuda a descubrir más riesgos de seguridad y a ponderar adecuadamente la puntuación final de gravedad de un problema.
Por ejemplo, al añadir un nombre de dominio, Aikido puede realizar análisis específicos para detectar problemas como vulnerabilidades SSL, errores de configuración de cookies, si se ha aplicado un CSP y ataques de secuencias de comandos en sitios cruzados (XSS).
Otros ejemplos contextuales son si la aplicación tiene acceso a Internet y en qué entornos está desplegada.
Aumentar la señal de riesgo de explotación
Aikido utiliza indicadores en tiempo real para rastrear la probabilidad de que un CVE sea explotado en la naturaleza, como casos confirmados de explotación, código público que documenta cómo realizar el exploit, y cualquier problema de infraestructura en la nube específico del cliente que pueda hacerlo especialmente vulnerable.
Y como Aikido monitoriza tanto su código como la infraestructura de la nube, puede aumentar la gravedad de los problemas de "combinación tóxica" que surgen de las condiciones específicas en las que se aloja su aplicación, por ejemplo, las instancias de AWS que utilizan la versión 1 de la API de IMDS son más vulnerables a los exploits SSRF que pueden exponer las credenciales de AWS.
Resumen
Las herramientas de seguridad tradicionales no se preocupan por la productividad de los desarrolladores. Están más que felices de enterrar un repositorio en una pila de falsos positivos, haciendo perder tiempo a los desarrolladores que podrían haber empleado mejor en resolver realmente los problemas de seguridad.
Lo que hace diferente a Aikido es que vemos la relación entre la productividad de los desarrolladores y la seguridad. Al eliminar las alertas y los CVE irrelevantes, se presta más atención a las amenazas reales y, como resultado, las correcciones se aplican más rápidamente.
Este beneficio mutuo para los desarrolladores y la seguridad es lo que nos mueve y la forma en que estamos curando el síndrome de fatiga por alertas de seguridad para nuestros clientes.
¿Quiere verlo en acción? Regístrese para escanear sus primeros repos y obtener sus primeros resultados en menos de 2 minutos.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)