Qualys porta la sicurezza delle applicazioni web nei processi DevOps

redazione

Qualys, Inc. (NASDAQ: QLYS), pioniere e fornitore leader di soluzioni di sicurezza e compliance basate su cloud, ha annunciato durante la Conferenza RSA® 2018, nuove funzionalità alle soluzioni per le applicazioni web, per automatizzare e rendere operativi i processi DevSecOps globali lungo l’intero ciclo di sviluppo del software, riducendo i costi sostenuti per risolvere ogni problema di sicurezza rilevato nelle applicazioni prima della messa in produzione.

Qualys Web Application Scanning (WAS) 6.0 supporta la versione 2.0 di Swagger con cui i team DevOps possono ottimizzare il testing delle API REST e ottenere una rapida visibilità dello stato di sicurezza dei back-end delle applicazioni mobili e dei servizi IoT. Inoltre, un nuovo plugin nativo per Jenkins, offre funzionalità di scansione automatizzata delle vulnerabilità nelle applicazioni web per i team che utilizzano il popolare strumento CI/CD (Integrazione Continua/ Recapito Continuo). Contestualmente, i clienti possono sfruttare il Qualys Browser Recorder, un’estensione gratuita per il browser Google Chrome, per esaminare con facilità gli script e districarsi tra operazioni di autenticazione complesse e workflow aziendali all’interno delle applicazioni web.

“Uno dei nostri obiettivi è quello di testare la sicurezza del codice già nelle prime fasi di sviluppo del software, e poter riuscire a integrare immediatamente questi controlli nei nostri ambienti di sviluppo è l’elemento fondamentale per riuscire ad ottenerlo,” ha dichiarato Dmitry Tysh, Senior Software Developer, IT Development, OSIsoft,. “Siamo impazienti di automatizzare ulteriormente il testing delle nostre API e app web utilizzando queste nuove funzionalità di Qualys WAS.”

“Ora che le aziende spostano le applicazioni nel cloud e adottano nuove tecnologie, la componente della sicurezza delle web app deve essere integrata nei processi DevOps per salvaguardare i dati e prevenire violazioni,” sottolinea Philippe Courtot, Presidente e CEO di Qualys. “Qualys aiuta i clienti a ottimizzare e automatizzare i processi DevSecOps, garantendo visibilità continua di sicurezza e conformità su tutte le applicazioni e sulle API REST. Grazie alle nuovissime funzioni WAS, i clienti possono rendere la sicurezza delle web app parte integrante dei loro processi DevOps, scongiurando costosi problemi di sicurezza in fase di produzione.”

Qualys WAS 6.0 e le nuove funzionalità includono:

● Scansione delle API REST (REpresentational State Transfer) basate su Swagger: oltre alla scansione dei servizi web SOAP, Qualys WAS ora sfrutta la specifica Swagger per testare le API REST. Gli utenti devono solo assicurarsi che il file della versione 2.0 di Swagger (formato JSON) risulti visibile al servizio di scansione per fare in modo che le API vengano testate automaticamente per rilevare i problemi di sicurezza più comuni delle applicazioni.

● Plugin Jenkins: Il plugin Jenkins di Qualys WAS mette i team DevOps nella posizione di inserire scansioni di rilevamento delle vulnerabilità dell’applicazione all’interno dei processi CI/CD esistenti. Tale integrazione delle scansioni consente di incorporare le operazioni di testing della sicurezza nelle prime fasi del ciclo di sviluppo del software e di rilevare ed eliminare eventuali problemi di sicurezza riducendo in modo significativo i costi di remediation che in fasi più avanzate del ciclo di sviluppo sono più elevati.

● Qualys Browser Recorder: La nuova estensione Chrome registra le attività del browser e salva gli script per eseguire attività di testing automatizzate e ripetibili. Gli script vengono riprodotti in Qualys WAS per aiutare il motore di scansione a districarsi con successo tra operazioni complesse di autenticazione e workflow aziendali. L’estensione Qualys Browser Recorder è disponibile gratuitamente per tutti, e non solo per i clienti Qualys, nel Chrome Web Store.

Disponibilità
Qualys WAS 6.0 è disponibile sotto forma di sottoscrizione annuale declinabile e scalabile in base al numero di applicazioni web effettivamente utilizzate.