Uygulama Güvenliği , Uygulama Güvenliği ve Çevrimiçi Dolandırıcılık , Dolandırıcılık Yönetimi ve Siber Suçlar
Snyk, Gelişmiş Dinamik Uygulama Güvenliği Test Yetenekleri ile API Güvenliğini Artırıyor
Michael Novinson (MichaelNovinson) •
12 Kasım 2024
Snyk, API güvenliğine yönelik artan talebi karşılamak için uzun süredir Portekiz Telekom güvenlik yöneticisi olarak yönetilen Portekizli bir dinamik uygulama güvenliği test şirketini satın aldı.
Ayrıca bakınız: VMware Karbon Siyahı Uygulama Kontrolü
Boston merkezli geliştirici güvenlik sağlayıcısı, Portekiz merkezli Problely Porto’yu satın almasının, üretken yapay zekada büyük dil modellerinin kullanımının artması nedeniyle API kullanan uygulamaları koruyacağını söyledi. Anlaşma, yazılım geliştirme yaşam döngüsü boyunca daha kapsamlı güvenlik kapsamı sağlamak için Probely’nin düşük hatalı pozitif oranlarını ve kullanılabilirliğini Snyk’in mevcut uygulama güvenliği teklifleriyle birleştirecek.
Snyk Baş İnovasyon Sorumlusu, “Müşterilerimizden, özellikle de gerçekten büyük olanlardan, yani yapay zekayı erken benimseyenlerden giderek daha fazla gördüğümüz şey, daha fazla yapay zeka benimsedikçe veya daha fazla yapay zekaya özgü uygulamalar oluşturmaya başladıkça, SDLC’lerinin bir parçası olarak API güvenlik testlerine ihtiyaç duyulduğudur.” Manoj Nair, Bilgi Güvenliği Medya Grubu’na söyledi.
2016 yılında kurulan Problely, 41 kişiyi istihdam ediyor ve Kasım 2022’de Iberis Capital ve Semapa Next’in ortak liderliğinde 8,4 milyon dolarlık A Serisi finansman turunu tamamladı. Şirket, kuruluşundan bu yana, daha önce Portekiz Telekom’da uygulama güvenliği ve e-posta mühendisliğini denetlemek üzere on yıldan fazla çalışmış olan Nuno Loureiro tarafından yönetilmektedir (bkz.: CrowdStrike’ın Kesintisinden Öğrenimler: Snyk CEO’sundan İçgörüler).
Nair’e göre daha fazla kuruluş yapay zekaya özgü uygulamalar geliştirdikçe API güvenlik testlerine olan ihtiyaç da artıyor. API’lerin geleneksel güvenlikte genellikle göz ardı edildiğini, ancak yapay zeka uygulamalarında hayati önem taşıdığını ve güvenlik açıklarından kaçınmak için SDLC’nin erken aşamalarında test edilmesi gerektiğini söyledi. Nair, Probely’nin API öncelikli yaklaşımının Snyk’in dinamik testleri de içeren sağlam bir güvenlik ekosistemi yaratma misyonuyla iyi uyum sağladığını söyledi.
Nair, “Bu uygulamalarda olanların çoğu, daha önce hiç test edilmemiş olabilecek API’leri kullanmaya başlamalarıdır” dedi. “Bunlar kuruluşlarda mevcuttu ve bunlar gizli bir cepheydi. API güvenlik testlerine yönelik bu talebi görmeye başladık ve geleneksel DAST, API güvenlik testlerini de içerecek şekilde genişledi.”
Müşteriler Birleştirilmiş Statik ve Dinamik Testlerden Nasıl Yararlanır?
Nair, Snyk’in güvenliğe yaklaşımının proaktif güvenlik açığı testlerine öncelik verdiğini ve Probely’nin API öncelikli felsefesini destekleyen modern DAST araçlarıyla iyi uyum sağladığını söyledi. Nair, Probely’nin DAST araçlarının üretim öncesi güvenlik testlerini geliştirmek için CI/CD hattına entegre edilebileceğini ve dağıtımdan önce güvenlik açıklarının belirlenmesine ve giderilmesine yardımcı olabileceğini söyledi.
Nair, “Bunu üretimden sonra geç saatlerde yapmak yerine, bunu CI/CD’nin sürekli dağıtım kısmına entegre ederek üretim öncesi durumda yapıyorlar” dedi. “Bu bizim açımızdan çok iyi bir gelişme çünkü o zaman misyonumuza çok iyi uyuyor.”
Nair, statik ve dinamik testleri birleştirmenin, Snyk’in geliştirici-güvenlik ekibi iş akışlarındaki boşlukları kapatacak güvenilir bir doğrulama yöntemi sağlamasına yardımcı olacağını ve belirlenen sorunların gerçekten geçerli tehditler olmasını sağlayacağını söyledi. Statik bulguların dinamik testlerle doğrulanması, geliştiricilerin teorik ve gerçek güvenlik açıkları arasında ayrım yapmasına yardımcı olacak ve Nair, bunun güvenlik konusunda kanıta dayalı bir yaklaşım sunacağını söyledi.
“Statik analiz aracının bulunduğunu gösterdiği bir şeyi gerçekten ilişkilendirebilirsem ve bu sorunu daha sonra uygulama çalışırken dinamik testle bulabilirsem, bunun yanlış bir pozitif olmadığını kanıtlamanın en iyi yolu budur. ” dedi Nair. “Diğer her şey teoridir.”
Probely’nin satın alınması, web uygulamaları ve API’ler için dinamik güvenlik testlerini entegre ederek Snyk’in portföyüne önemli bir değer katıyor; Snyk’e göre bu, uygulamaların özellikle yapay zeka odaklı modellerde giderek daha fazla API’lere bağımlı olması nedeniyle kritik önem taşıyor. Snyk, Probely’nin Güvenlik Başlıkları da dahil olmak üzere araçlarının güvenlik analizini kolaylaştırarak geliştiriciler için daha hızlı ve daha erişilebilir hale getirdiğini buldu.
Snyk ve Probely, üretkenliğe ve kullanım kolaylığına odaklanarak güvenlik konusunda geliştiriciye öncelik veren bir yaklaşıma öncelik veriyor. Probely’nin düşük yanlış pozitif oranları, geliştiriciler için gereksiz uyarıları azaltır ve sezgisel arayüzü, güvenlik testlerinin kolaylaştırılmasına yardımcı olarak bilişsel yükü en aza indirir. Bu yaklaşım, Snyk’in geliştiricilerin güçlendirilmesine ve üretkenliğine olan bağlılığını güçlendirirken aynı zamanda sağlam bir güvenlik uyumluluğu sağlar.
Probely Satın Alma Etrafında Başarı Nasıl Görünüyor?
Probely’yi satın almak, Snyk’in yazılım geliştirme yaşam döngüsü boyunca güvenlik otomasyonuna olan bağlılığını genişletir. Anlaşma, uygulama güvenliğine yönelik derinlemesine savunma yaklaşımını destekleyecek ve Snyk’in tekliflerini API’lerde ve uygulamalarda otomatik, dinamik güvenlik açığı tespitiyle geliştirecek. Uygulamalar giderek daha fazla AI odaklı API bağlantılarına bağımlı hale geldikçe Probely’nin API taraması, SDLC’nin güvenliğinin sağlanmasında kritik hale gelecektir.
Nair, Snyk Code’un başarısını tekrarlamayı ve birkaç yıl içinde önemli miktarda yıllık yinelenen gelir elde etmeyi hedefleyerek Probely’nin satın alınması için iddialı hedefler belirledi. Nair’e göre entegrasyon aşamalarının takibi, müşteri benimseme oranları ve kusursuz bir platform entegrasyonuna ulaşmak, satın almanın anlamlı bir değer sunmasını sağlamak için öncelikli ölçümlerdir.
“Müşterilerimize tek satıcıdan, tek SDLC platformundan nasıl daha fazla özellik kazandırabiliriz?” Nair sordu. “Ve şirket içinde hedefim şu: ‘Bu, bir sonraki 100 milyon dolarlık ARR bileşeni nasıl olacak?'”
Nair, API güvenliğinin CISO’ların odak noktası olması gerektiğini söyledi. Yapay zekaya özgü uygulamalarda test edilmemiş API’lerle ilişkili risklere dikkat çekti ve şirketlere, tehditleri azaltmak için API güvenlik testlerini erkenden benimsemelerini tavsiye etti. Nair ayrıca kapsamlı API testinin yapay zekaya özgü uygulamaların OWASP Top 10 API güvenlik açıklarına karşı güvenliğinin sağlanmasında oynadığı kritik rolün altını çizdi.
Nair, “CISO’ların düşünmesi gereken bir numaralı şey şu: ‘API hizmetlerim test ediliyor mu?'” dedi. “Çünkü aksi takdirde bu riskler yapay zekaya özgü uygulamalarımın bir parçası olmayacak.”
Snyk’in Probely’yi satın alması, kendisini 2025’te potansiyel bir halka arz için konumlandırırken platformunu güçlendirmeye yönelik daha geniş stratejisine de uyuyor. Reviewpad ve Enso gibi önceki satın almalar, Snyk’in yeteneklerini artırarak geliştiricilerin kodu verimli bir şekilde güvence altına almaları için bir araç ekosistemi oluşturdu. Ancak Snyk, ekonomik koşullar nedeniyle daha yavaş büyüme ve işgücünün azalması gibi zorluklarla da karşı karşıya kaldı (bkz.: Snyk, Geliştiricilerin Kodlara Hızlı Katkıda Bulunmasına Yardımcı Olmak İçin Reviewpad’i Satın Aldı).