Veracode, fornitore leader di soluzioni di intelligent software security, ha annunciato una serie di innovazioni di prodotto per migliorare l’esperienza degli sviluppatori. Le nuove funzionalità integrano la sicurezza nel ciclo di vita dello sviluppo del software (SDLC) e favoriscono l’adozione di tecniche di protezione delle applicazioni negli ambienti dedicati.
Secondo un recente studio di IDC, l’84% delle aziende sostiene che sviluppatori che accettino gli strumenti di sicurezza sia tra gli elementi più importanti per raggiungere una completa DevSecOps[1]. Le ultime innovazioni di Veracode ridefiniscono l’approccio alla sicurezza delle applicazioni cloud-native durante l’intero SDLC, rafforzando l’impegno dell’azienda a fornire una piattaforma unificata per la gestione completa dei rischi alla sicurezza.
“Gli sviluppatori devono affrontare un’immensa pressione per implementare rapidamente le innovazioni, e spesso ricorrono a meccanismi come Large Languare Model e open source per accelerarne il processo. Purtroppo, questo approccio può portare alla scrittura di codice non sicuro e a soluzioni che aggravano i rischi per la sicurezza, anziché mitigarli”, spiega Brian Roche, Chief Product Officer di Veracode. “La situazione è appesantita ulteriormente dagli strumenti di sicurezza esistenti, che aggiungono complessità anziché semplificare il processo”.
“Veracode affronta questa sfida fornendo una piattaforma unificata che non solo monitora e mitiga i rischi, ma snellisce anche i flussi di lavoro degli sviluppatori tra repository, IDE e cloud. Offrendo agli specialisti informatici strumenti di sicurezza di facile utilizzo, consentiamo alle aziende di fornire software sicuro più velocemente, eliminando la necessità di scendere a compromessi tra sicurezza e velocità”, prosegue Brian Roche, Chief Product Officer di Veracode.
La prossima frontiera: DAST Essentials
In un mondo in cui le applicazioni web rappresentano il 60% delle violazioni[2] e gli attacchi alle API sono aumentati del 137% nel 2022[3], è fondamentale garantire che le applicazioni cloud-native siano sufficientemente protette e costantemente monitorate. La scansione dinamica analizza i sistemi runtime in tempo reale, utilizzando metodi di attacco del mondo reale in un luogo sicuro e può essere eseguita in un ambiente di preproduzione all’interno dell’SDLC. Le soluzioni tradizionali non sono all’altezza e spesso non offrono scalabilità e flessibilità richieste dalle aziende in crescita. Al contrario, DAST Essentials di Veracode è una soluzioneagile che consente agli sviluppatori e ai team di sicurezza di affrontare i rischi in modo semplice, rapido e scalabile.
“Poiché le aziende continuano a confrontarsi con le continue e nuove sfide di sicurezza, la necessità di soluzioni complete è innegabile. Bilanciare la velocità di sviluppo con una solida protezione è una sfidaardua, ostacolata dalla natura dispendiosa in termini di tempo delle scansioni dinamiche regolari e dalla disconnessione tra i team di sviluppo e sicurezza”, afferma Katie Norton, Senior Research Analyst di IDC. “Veracode DAST Essentials è un punto di riferimento che colma questo divario con un approccio veloce, integrato e pratico. Accelera lo sviluppo di software sicuro, unifica gli sforzi di bonifica e consente alle aziende di rafforzare le proprie difese nel panorama della cybersecurity in continua evoluzione”.
Con uno dei più bassi tassi di falsi positivi segnalati dai clienti (inferiore al 5%), DAST Essentials di Veracode scansiona e testa simultaneamente più applicazioni web e API (Application Programming Interfaces). La ricerca State of Software Security di Veracode ha rilevato che l’80% delle applicazioni web presenta vulnerabilità critiche che possono essere identificate solo attraverso scansione dinamica. Questo sottolinea il ruolo critico che DAST (Dynamic Application Security Testing) svolge in un robusto programma di sicurezza delle applicazioni, assicurando alle aziende di poter affrontare le vulnerabilità sfruttabili nel software cloud-native in modo accurato e veloce.
Manhattan Associates, azienda specializzata in soluzioni per la supply chain, ha scelto di collaborare con Veracode per il suo programma di analisi dinamica e sicurezza cloud-native. “La presenza di Veracode e la soluzione basata su cloud possono offrire nuove innovazioni in modo costante. Avere un partner cloud-native come Veracode ci permette di eseguire scansioni continue del nostro software, in modo da avere la certezza in tempo reale che la nostra soluzione sia la più sicura possibile”, spiega Rob Thomas, Executive Vice President, Research & Development e Cloud Operations di Manhattan Associates.
Migliorare i flussi di lavoro degli sviluppatori: App GitHub di Veracode
Veracode ha ben chiare le sfide che gli sviluppatori devono affrontare per adottare misure di sicurezza cloud-native senza interrompere i loro flussi di lavoro. L’App GitHub di Veracode facilita l’adozione da parte degli sviluppatori, consentendo ai team di sicurezza delle applicazioni un’unica configurazione e integrazioni senza problemi, consentendo agli sviluppatori di correggere rapidamente il codice negli ambienti in cui operano, con un unico strumento per l’analisi statica, l’analisi della composizione del software (SCA) e la scansione della sicurezza dei container. Il risultato è un processo di sviluppo più rapido e senza attriti che non compromette la sicurezza.
Potenziare la Repo Scanning
Scansionare applicazioni cloud-native per la prima volta risulta spesso un processo manuale, complesso e frustrante. L’App GitHub di Veracode semplifica questa attività, fornendo agli sviluppatori i risultati della scansione. I team DevOps possono facilmente integrare i repository senza configurazioni manuali, mantenendo la velocità di sviluppo e semplificando i processi di scansione. Grazie alla possibilità di standardizzare le configurazioni di scansione su centinaia di repository con un solo clic, i team DevOps possono ridurre gli attriti e integrare molto prima la sicurezza cloud-native all’interno del ciclo di sviluppo.
“Garantire la sicurezza delle applicazioni cloud-native non è mai stato così importante. Gli sviluppatori assemblano il codice tanto quanto lo scrivono, il che significa che anche le applicazioni costruite in modo più meticoloso sono suscettibili a minacce. Al fine di proteggere la supply chain del software, lo sviluppo di applicazioni moderne necessita di un cambio di paradigma nelle pratiche di sicurezza. Mentre i metodi di sviluppo delle applicazioni distribuite nel cloud prendono piede, queste ultime innovazioni di prodotto dimostrano come Veracode stia adottando la natura dinamica del panorama cloud-native per definire il percorso di una maggiore sicurezza nel futuro digitale”, conclude Roche.
Questo annuncio segue il lancio di Veracode Fix, avvenuto a inizio 2023, nuova soluzione dotata di intelligenza artificiale che suggerisce automaticamente i rimedi per le falle, indicata tra i 20 Hottest Cybersecurity Products e tra i prodotti più interessanti alla RSA Conference 2023.
[1] IDC, “DevSecOps Adoption, Techniques, and Tools Survey, 2023,” Katie Norton e Jim Mercer, maggio 2023
[2] Verizon, “2023 Data Breach Investigations Report,” giugno 2023
[3] Akamai, State of the Internet (SOTI) report, aprile 2023
