Endor Labs, Yazılım Kompozisyon Analizi (SCA) pazarındaki maliyetli ve zaman alıcı bir sorunu çözen iki yeteneği, Yükseltme Etki Analizi ve Endor Sihirli Yamaları duyurdu.
Yazılım sürümü yükseltmeleri genellikle açık kaynaklı yazılım (OSS) bağımlılıklarındaki kritik güvenlik açıklarını gidermek için gereklidir. Ancak, bu yükseltmelerin uygulamalarda bozucu değişikliklere neden olmadan uygulanması zor olabilir ve bu da riski gerçekten azaltmayı zorlaştırır.
Büyük bir Fintech şirketinin AppSec Operasyonları Direktörü Endor Labs ekibine şunları söyledi: “Geliştiriciler, bozucu değişiklikler nedeniyle yükseltmelerden korkuyor. Ürünün hangi yükseltmenin hangi paketleri etkileyebileceğini göstermek için bir yükseltmeyi taklit edebileceğini hayal edin. Bu bilgiyle, yükseltmenin ne kadar zor olacağına ve kaç tane başka paketin etkileneceğine göre düzeltmeleri önceliklendirebilirim.”
AppSec ekipleri artık belirli bir yükseltmenin ne kadar zor olabileceği ve neyin bozulabileceği hakkında bilgi ediniyor. Bu, Mühendislik ile güvenlik düzeltmelerinin kapsamını belirleme ve hizmet düzeyi anlaşmaları (SLA’lar) belirleme konusunda görüşmeleri kolaylaştırıyor. Ve kanıtlar yükseltme maliyetinin çok yüksek olacağını gösterdiğinde, örneğin yükseltmesi aylar veya yıllar sürebilecek temel bir paket durumunda, ekipler Endor Labs tarafından sürdürülen geriye dönük bir güvenlik yamasıyla güvenlik açığını hemen azaltmayı seçebilir.
Endor Labs Ürün Yönetimi Başkan Yardımcısı Marcelo Oliveira şunları söyledi: “OSS’nin en iyi özelliklerinden biri sürekli iyileştirme derecesidir; hemen hemen her pakete düzenli bir yükseltme akışı vardır. Ancak, avantajlar genellikle tehlikeler tarafından gölgede bırakılabilir. Bu yeni yeteneklerle ekipler, bağımlılık yükseltmelerinin etkisini anlamak için gereken işi önemli ölçüde azaltarak bu engeli aşabilir ve yükseltme riski çok yüksek olduğunda güvende kalabilirler. Güvenliği yazılım mühendisleri için daha az yük haline getirmek her zaman görevimiz olmuştur ve bu lansmanla güvenlik ekiplerinin daha iyi ortaklar olmalarına yardımcı olmaya devam ediyoruz.”
SCA teklifleri genellikle savunmasız olmayan sürümler hakkında bilgi sağlarken, hiçbiri her uygulama için benzersiz olan bağlamda temellendirilmiş düzeltme tavsiyeleri içermez. Buna karşılık, Endor Labs, tam olarak hangi üçüncü taraf bağımlılıklarının kullanıldığını ve uygulama koduyla nasıl etkileşime girdiklerini görmek için derleme sırasında program analizini kullanır. Uygulamanın derinlemesine anlaşılması, doğru bir yazılım envanteri elde etmeyi, erişilebilirliğe dayalı gürültüyü ortadan kaldırmayı ve bozucu değişiklikleri doğru bir şekilde tahmin etmeyi mümkün kılar.
Bu sürümle birlikte Endor Labs kullanıcıları iki yeteneğin kilidini açıyor: Yükseltme Etki Analizi ve Endor Sihirli Yamaları.
Uygulama analiz motorunu, bir uygulamada meydana gelen kesinti değişiklikleri gibi istenmeyen sonuçları belirleyecek şekilde genişleterek, AppSec ekipleri zorluk bağlamında riski yönetebilir. Çeşitli düzeltme seçeneklerinin uygulamayı nasıl etkileyeceğini anladıkları için şunları yapabilirler:
- İyileştirme çabalarının yatırım getirisini artırın: Hangi yükseltmelerin, harcanan çabayla birlikte en yüksek güvenlik etkisine sahip olabileceğini belirleyin
- Geliştiricilere zaman kazandırın: Geliştiricilere karmaşıklık ve etkiye göre sıralanmış öncelikli bir yükseltme listesi sağlayarak manuel araştırmaya olan ihtiyacı azaltın
- Riskleri daha hızlı ele alın: Standartlaştırılmış araştırmalarla düzeltme çabalarının bilinçli tahminlerini yapın, böylece düşük çaba/düşük riskli düzeltmeleri hızla uygulayabilir ve karmaşık düzeltmeler için önceliklendirme kararları alabilirsiniz.
Endor Magic Patches, güvenlik yamaları sağlayarak gerçekleştirilmesi zor yükseltmelerin sıkıntısını ortadan kaldırır ve bu yamalar güvenlik açığı olan sürüme geri taşınır. Kaynak kodu, yamalar, test, derleme ve dağıtım adımları incelenebilir ve derlemeler tamamen yeniden üretilebilir ve hermetiktir. AppSec ekipleri şunları yapabilir:
- Ortaya çıkan tehditlere yanıt verin: Ekip bağımlılıkları yükseltmek için çalışırken kuruluşun güvende kalmasını sağlamak için bir yama alabilecekleri konusunda gönül rahatlığıyla bir sonraki Spring4Shell’e hazır olun
- Geliştirici iş yüklerini dengeleyin: Geliştiricilerin beklenmedik gecikmeler olmadan planladıkları özellikleri yayınlamaya odaklanabilmeleri için yükseltme aciliyetini azaltın
- FedRAMP uyumluluğunu destekleyin: Devlet gereksinimlerine uygun olarak hassas bilgileri korumak için güvenlik açığı riskini azaltın.