Lacework, Lacework müşterilerine uygulama geliştirme yaşam döngüsünün tamamı boyunca tam görünürlük sağlayan kod güvenliğinin yayınlandığını duyurdu.
Dantel kod güvenliği, güvenlik sorunlarının kod dağıtılmadan önce tespit edilerek ortaya çıkmasının önlenmesine yardımcı olur ve uygulama yaşam döngüsünde nerede bulunursa bulunsun sorunların daha hızlı önceliklendirilmesine ve düzeltilmesine yardımcı olur.
Lacework her zaman, hızla en iyi güvenlik sonuçlarına ulaşmanın, her yazılım paketinin nerede çalıştığını bilmek ve uygulama yaşam döngüsü boyunca verileri yakalama ve ilişkilendirme yeteneği de dahil olmak üzere sürekli görünürlük ve bağlam gerektirdiğine inanmıştır. Bu yaklaşım, güvenlik ekiplerinin daha verimli olmasını sağlar, farklı kaynaklardan gelen verileri ve bulguları bir araya getirme zahmetini ortadan kaldırır ve daha yüksek değer sağlayan daha az sayıda araçla birleştirmeye yardımcı olur.
Lacework CEO’su Jay Parikh, “Bu, daha büyük Lacework platformunu tamamlamak için özel olarak tasarlanmış, kod güvenliğine yönelik veri odaklı yaklaşımımızı açıkladığımız bir dönüm noktasıdır” dedi. “Lacework platformunu güçlendiren teknolojiye yaptığımız derin yatırım, müşterilerimize kod güvenliği içgörülerinden çok daha fazlasını sunmamıza olanak tanıyor. Lacework, koddan buluta kadar uzanan derin güvenlik içgörüleri sağlamaya yardımcı olmak için çeşitli veri kaynaklarını birleştirebiliyor.”
Lacework Yazılım Kompozisyon Analizi ve Statik Uygulama Güvenliği Testi
Lacework iki tür statik program analizi sunuyor; biri (SCA) müşterilerin depolarındaki üçüncü taraf kodunu hedef alıyor, diğeri (SAST) ise birinci taraf kodunu hedefliyor.
Lacework tarafından geliştirilen SCA yetenekleri, müşterilere doğrudan ve dolaylı bağımlılıklar da dahil olmak üzere üçüncü taraf yazılım kitaplıklarına ve ilgili güvenlik açıklarına ilişkin sürekli görünürlük sağlar. Lacework’ün benimsediği benzersiz yaklaşım, temel SCA işlevselliğinin ötesine geçer ve ekiplere, savunmasız işlevlerin kodda tam olarak nerede kullanıldığı, her birine ne sıklıkta başvurulduğu, bu işlevlerin getirilmesinden kimin sorumlu olduğu ve kodu düzeltmenin kime ait olduğu konusunda sürekli görünürlük sağlar.
Müşteriler, her uygulama için her zaman güncel bir SBOM’a, yazılım tedarik zincirlerinde sürekli görünürlüğe ve ayrıca açık kaynak lisans riski anlayışına sahip olur.
Lacework platformunun bir parçası olan SCA ile müşteriler ilk kez savunmasız bir paketin tüm yaşam döngüsünü görebilir ve kaynak kodundaki kullanımını herhangi bir bulut yerel iş yükü içindeki etkinliğine kadar takip edebilir. Aktif güvenlik açığı tespiti, Lacework çalışma zamanı aracısının Code Aware Agent (CAA) olarak bilinen bir uzantısı kullanılarak gerçekleştirilir.
Daha önce Lacework, ana bilgisayar paketleri için Aktif Güvenlik Açığı Tespiti’ni (AVD) duyurmuştu ve bugün şirket, konteynerler için AVD desteğini ekledi; bu, müşterilerin artık bulut iş yüklerinin geniş yüzeylerinde çalışma zamanı paket etkinliğini tanımlayabileceği anlamına geliyor.
Lacework Mühendislik Direktörü Peter O’Hearn, “CAA’yı geliştirdiğimizde bunu statik analize bağlantı sağlamak amacıyla yaptık” dedi. “Statik ve çalışma zamanı analizini, daha önce farkına varılmamış bir değerle birleştirmede, şimdi faydalanmaya başladığımız, keşfedilmemiş büyük bir potansiyel var.”
AVD ve SCA’nın birleşimi, bulut güvenliğine yönelik platform yaklaşımının faydasını göstermektedir. Bir paketin aktif olduğu biliniyorsa, aktif olduğu bulunmayan ve muhtemelen hiçbir zaman bulunmayacak paketlere göre bu paketin güncellenmesine öncelik verilebilir. Tersine, eğer bir paket aktif değilse, kaldırılmaya aday olarak değerlendirilebilir ve bu da saldırı yüzeyini azaltır. AVD çalışma zamanı öngörüsünü, SCA ise daha hızlı çözüme yol açabilecek kaynak kodu bilgisini sağlar.
Mendix Güvenlik Mimarı John Sinteur, “Lacework kod güvenliğiyle yeni bir olgunluk düzeyine ulaşacağız ve ekiplerimizi daha hızlı yenilik yapma konusunda güçlendireceğiz” dedi. “Üçüncü taraf kodlarına yönelik bu kapsamlı görünürlük, müşterilerimize düşük kodlu uygulamalarının ve platformumuzun üçüncü taraf güvenlik açıklarından arınmış olduğunu göstermemize yardımcı olacak. Bu yeteneklerin yanı sıra Lacework aracısı, paket etkinliğini izleyerek güvenlik açıklarını risk açısından önceliklendirmemize yardımcı oluyor.”
Lacework SAST, kuruluşların birinci taraf kodlardan nasıl yararlanılabileceğini anlamalarına yardımcı olmak amacıyla kapsamlı kod güvenliği özellikleri sağlamak üzere SCA’yı tamamlar. Lacework SAST şirket içi kodu alır ve bir saldırganın güvenlik kontrollerini atlamak, kötü amaçlı komutlar çalıştırmak veya hassas verileri sızdırmak için kullanabileceği kaynak kodu zayıflıklarını belirler. Araç, bu analizden yola çıkarak müşterilere hem giriş seviyesi hem de üst düzey güvenlik analistleri tarafından kolayca uygulanabilecek otomatik ve sezgisel bir güvenli kod incelemesi sağlar.
Lacework SAST, uygulama güvenliği mühendislerine, internete en çok maruz kalan uygulamalardaki karmaşık güvenlik açıklarına ilişkin görünürlük sağlar. Lacework, her uygulamanın derinlemesine bir modelini sağlar ve SQL enjeksiyonu gibi tehlikeli istismarlarla sonuçlanabilecek sıfır günleri ayıklamak için güvenilmeyen verilerin yolunu izler. Uygulama güvenliği ekipleri, milyonlarca kod satırını dakikalar içinde değerlendirebilen hızlı bir analizör ile çok daha büyük geliştirme ekiplerinin taleplerini karşılayacak şekilde ölçeklenebilir.
Geleneksel SAST araçları, çok sayıda hatalı pozitif sonuç içeren gürültülü sonuçlarla ünlüdür. Daha az sıklıkla vurgulanan ancak güvenlik duruşu açısından daha da önemli olan şey, yanlış negatiflerdir (gözden kaçan hatalar). Lacework SAST, bir uygulamanın çağrı zincirlerini ve kontrol yollarını analiz etmek için karmaşık bir dizi teknik kullanır.
Bu analiz, bir geliştiricinin riski azaltmak için telafi edici kontroller eklediğini öğrenir ve Lacework’ün yüksek düzeyde yapılandırılabilir motoru, güvenlik mühendislerinin benzersiz kod tabanlarının belirli ihtiyaçlarını karşılamak için kuralları kolayca özelleştirmelerine ve eklemelerine olanak tanır. Lacework SAST analizi hem hassas hem de hızlıdır: yanlış pozitif ve negatif değerleri düşüktür.
Lacework’ün bugün duyurduğu kod güvenliği özellikleri, kod (IaC) güvenliği olarak altyapıya yönelik önceki yatırımını temel alıyor ve şirketin tüm uygulama yaşam döngüsünü kapsayan veri odaklı bir platform vizyonunu daha da güçlendiriyor. Koddan üretime kadar uzanan tek bir platform, güvenlik ekiplerine benzersiz görünürlük sağlar, daha fazla araç birleştirmenin önünü açar ve aynı zamanda daha hızlı inovasyon ve daha iyi güvenlik sonuçları sağlar.