Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://thehackernews.com/2023/05/what-to-look-for-when-selecting-static.html
Fonte: https://thehackernews.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #o #que #procurar #ao #selecionar #uma #solução #de #teste #de #segurança #de #aplicativo #estático #(sast)
Se você está envolvido na proteção dos aplicativos que sua organização desenvolve, não há dúvida de que as soluções Static Application Security Testing (SAST) são uma parte importante de uma estratégia abrangente de segurança de aplicativos. O SAST protege o software, oferece suporte aos negócios com mais segurança, reduz os custos, reduz os riscos e acelera o tempo de desenvolvimento, entrega e implantação de aplicativos de missão crítica.
O SAST verifica o código no início do desenvolvimento, para que sua equipe de AppSec não precise se esforçar para corrigir vulnerabilidades inesperadas logo antes do planejamento do grande lançamento. Você evitará surpresas e atrasos no lançamento sem liberar inadvertidamente softwares arriscados para os clientes — ou para a produção.
Mas se você considerar o SAST como parte de uma plataforma AppSec maior, crucial para aqueles que desejam mudar a segurança para todos os lugares possíveis no ciclo de vida de desenvolvimento de software (SDLC), algumas soluções SAST superam outras.
Saber no que focar
Com uma infinidade de participantes no mercado, às vezes fazendo reivindicações concorrentes, é confuso saber o que procurar ao selecionar uma solução SAST. É importante entender o que está por trás de cada reclamação e ver se condiz com a realidade.
Às vezes, a solução com a qual uma organização começa inicialmente não é a correta à medida que a organização cresce ou quando outras equipes começam a usar a solução.
Portanto, a verdadeira questão é: "Qual solução SAST é melhor para minha organização?"
O que procurar em uma solução SAST
Encaixe no seu programa AppSec
Uma plataforma abrangente de segurança de aplicativos permite simplificar a segurança — em código de aplicativos, dependências de código aberto, cadeias de suprimentos, IaC, APIs, contêineres e muito mais — tudo a partir de uma única verificação. Uma plataforma fornece resultados rápidos, correlacionados e precisos para acelerar a correção.
Ao procurar uma solução SAST, se ela fizer parte de uma plataforma AppSec unificada, ela fornecerá o melhor valor para proteger aplicativos modernos. Uma plataforma completa deve fornecer gerenciamento centralizado para SAST, SCA, SCS, segurança de API, DAST, segurança IaC e segurança de contêiner.
Uma plataforma deve ser capaz de crescer com você conforme suas necessidades mudam. Ao comparar abordagens baseadas em plataforma com AppSec, certifique-se de que elas possam correlacionar resultados de verificação em diferentes mecanismos de verificação para que você possa obter uma avaliação geral de risco em projetos e aplicativos, em vez de tentar agregar manualmente os resultados de várias soluções AST independentes.
Flexibilidade é crucial
Nenhum aplicativo é igual, e diferentes partes interessadas – como CISOs, equipes de segurança de aplicativos e desenvolvedores – têm necessidades únicas.
Às vezes, eles precisam obter uma visão geral dos riscos em um aplicativo e "varredura ampla", enquanto outras vezes precisam "varredura profunda" em uma parte específica de um aplicativo ou explorar riscos muito especializados.
Ter a flexibilidade de escanear profundamente e escanear amplamente abrange todos os casos de uso. Ele fornece flexibilidade para que as organizações possam padronizar em uma única plataforma que abrange todos os casos de uso.
Predefinições (também conhecidas como conjuntos de regras) são grupos de regras de varredura prontas para uso que podem ser aplicadas a várias varreduras. As soluções SAST devem vir pré-embaladas com uma variedade de predefinições para oferecer suporte aos principais casos de uso, incluindo obter uma visão geral dos riscos e vulnerabilidades de seu código, além de garantir a conformidade regulamentar.
Às vezes, não importa quão extensos, os conjuntos de regras pré-empacotados não são suficientes e uma organização deseja editar ou criar conjuntos de regras personalizados. Isso ajuda a melhorar a precisão e minimizar falsos positivos. A precisão é importante no SAST
Para que uma solução SAST seja útil, ela deve ser precisa.
Ao falar sobre SAST, "falsos positivos" - ou seja, itens sinalizados que não são riscos verdadeiros - são frequentemente mencionados. A maneira de contornar isso são predefinições flexíveis e consultas ou regras personalizadas.
Mas ainda mais preocupantes são os "falsos negativos" — ou seja, riscos em seu código que são negligenciados e não identificados pelo seu scanner SAST. Com falsos negativos, você está liberando vulnerabilidades sem saber, sem nem mesmo a chance de explorá-las e corrigi-las. Você está voando às cegas.
Uma maneira de reduzir as chances de falsos negativos é usar uma solução "centrada no aplicativo" que entenda como seu aplicativo funciona. Esta solução pode rastrear o fluxo de dados através do código e executar o código com entradas simbólicas, permitindo explorar todos os caminhos através do código para encontrar qualquer um que seja explorável. Embora depender de ferramentas baseadas em regex possa parecer conveniente - afinal, elas são mais leves e rápidas - não será o caso quando sua empresa estiver nas manchetes devido ao código vulnerável que foi lançado na natureza.
Outra solução é usar o perfil certo para sua base de código e criar consultas personalizadas quando necessário. Por exemplo, se uma organização desenvolveu seu próprio desinfetante personalizado, informar o SAST sobre esse desinfetante ajustando as consultas pode eliminar falsos positivos. Ter uma linguagem de consulta personalizável é fundamental para reduzir falsos positivos sem habilitar falsos negativos.
Encontre uma solução SAST que funcione para desenvolvedores
Conforme mencionado acima, chegar aos problemas na origem, e não simplesmente corrigir erros de sintaxe, é mais rápido e economiza dinheiro a longo prazo. Varreduras rápidas que perdem vulnerabilidades porque não entendem como o código se relaciona com os aplicativos não são o objetivo. Mas também não está forçando os desenvolvedores já apressados a passar por cada erro com um pente fino.
É fundamental corrigir os problemas rapidamente. A maneira de fazer isso é fornecer um "melhor local fixo". Isso indica aos desenvolvedores o local exato para corrigir uma vulnerabilidade, economizando tempo e energia. E muitas vezes, ao modificar o código no melhor local de correção, essa única correção pode eliminar várias vulnerabilidades e reduzir o número de correções de código necessárias.
A maioria dos desenvolvedores não é especialista em segurança, mas uma boa solução SAST pode transformá-los em heróis da segurança.
Procure uma solução que mostre aos desenvolvedores como corrigir vulnerabilidades, explique o significado e o impacto da vulnerabilidade e os ajude a escrever códigos mais seguros no futuro. Algumas soluções fornecem ou se integram com treinamento de código que ensina aos desenvolvedores como identificar e escrever código seguro e de qualidade.
O treinamento de segurança de código gamificado e de tamanho reduzido permite um aprendizado fácil e rápido que aumenta a adoção do desenvolvedor, e essa abordagem pode até aumentar a retenção de funcionários.
Com a solução SAST certa, seus desenvolvedores não precisarão ir ao Stack Overflow ou ao Reddit em busca de conselhos sobre como corrigir um problema. SAST que suporta seu ciclo de vida de desenvolvimento de software existente
As linguagens e estruturas mudam. Sua solução SAST não deveria. Portanto, é importante ter uma solução SAST que acompanhe as atualizações de idioma mais recentes e suporte os idiomas mais recentes. Isso permite que você ofereça suporte a seus desenvolvedores, onde quer que eles escolham ir.
O amplo suporte a idiomas também é essencial para permitir que uma organização padronize uma solução entre as equipes e em toda a organização.
Por exemplo, se você trabalha com finanças, a organização pode precisar oferecer suporte a linguagens legadas, como COBOL, que ainda possibilita muitas transações bancárias, bem como linguagens emergentes de desenvolvimento de aplicativos móveis, como Flutter. Embora diferentes desenvolvedores possam trabalhar em ambos os componentes, as organizações podem maximizar a eficiência padronizando uma única plataforma de segurança de aplicativos, em vez de recorrer a uma mistura de fornecedores.
Descobrindo APIs no código-fonte
Impulsionado por recentes violações de dados de alto perfil, há uma consciência crescente das APIs como possíveis pontos de entrada em seus aplicativos. OWASP ainda tem um "Top 10 de segurança de API", onde cobrem as principais maneiras pelas quais as APIs podem ser violadas, incluindo injeção, configuração incorreta de segurança e autorização de nível de objeto quebrado.
Um dos desafios da maioria das soluções de segurança de API hoje é que elas são todas shift-right. Por exemplo, WAFs protegem o ambiente de tempo de execução enquanto o DAST testa aplicativos compilados. Embora se possa dizer que "uma boa segurança começa com um bom código", as APIs testam esse ditado até certo ponto, já que cada API é diferente e vem com seus próprios desafios de segurança exclusivos. As soluções existentes também exigem que os desenvolvedores documentem suas APIs para que as soluções WAF e DAST saibam o que proteger e testar. No entanto, os desenvolvedores geralmente são inconsistentes com a documentação da API, levando a APIs de sombra.
A boa notícia é que cada API em um aplicativo é escrita em código. No mínimo, sua solução SAST deve ser capaz de descobrir endpoints de API definidos no código e fazer o inventário deles. Mas, idealmente, ele também deve ser capaz de mostrar quais vulnerabilidades estão presentes em cada API, então agora você pode priorizar as vulnerabilidades a serem corrigidas com base no valor comercial da API.
Tendo SAST + DAST juntos em uma única plataforma
Qualquer um que tenha passado algum tempo desenvolvendo software ou tenha sido encarregado de proteger milhões de linhas de código que compõem um aplicativo moderno, entende que existem muitos métodos aceitos pelo setor para escanear e testar aplicativos. O objetivo da varredura de código com o SAST é detectar erros de codificação que podem potencialmente levar a vulnerabilidades exploráveis – e todos sabem que o código vulnerável é a principal causa de todas as violações conhecidas atualmente. Mas o valor de usar as ferramentas SAST e DAST é que ambas encontram vulnerabilidades diferentes.
No entanto, se você tiver ferramentas diferentes, isso significa que você as está gerenciando separadamente por meio de diferentes interfaces, você deve ir a locais separados para ver as vulnerabilidades detectadas, analisar e triar as vulnerabilidades de maneira diferente e rastrear as vulnerabilidades corrigidas separadamente.
Ter SAST e DAST na mesma plataforma significa que você pode ver suas vulnerabilidades em um só lugar, gerenciá-las e triá-las por meio de um único fluxo de trabalho/processo e enviá-las a seus desenvolvedores para correção por meio do mesmo fluxo de trabalho. Você também pode integrá-los em diferentes pontos do seu SDLC usando um conjunto comum de integrações.
E, como bônus, se o seu SAST puder descobrir e inventariar APIs no código-fonte e encontrar APIs não documentadas, você também poderá testar essas APIs não documentadas usando o DAST. Isso ajuda você a obter mais valor de sua solução SAST, obtendo suas descobertas e melhorando os resultados de segurança em outras áreas de maneira 1+1=3.
Encontre uma solução SAST que permite que você faça a mudança acontecer
Ao pesquisar soluções SAST, sem dúvida você ouvirá muitas promessas de mudar seu AppSec para a esquerda. Mas isso não é mais suficiente. À medida que as práticas modernas de desenvolvimento de aplicativos aumentam o uso de APIs, código-fonte aberto e outras inovações, surgem novos riscos. Hoje, tudo é um aplicativo. Agora você precisa que a segurança do seu aplicativo mude para todos os lugares. Nota: Este artigo perspicaz foi escrito por especialistas e com contribuição cuidadosa de Avi Hein, gerente de marketing de produto da Checkmarx.
Postar um comentário