Veracode, geliştiricilerin tasarımı gereği güvenli yazılımlar oluşturmasına ve güvenlik ekiplerinin koddan buluta ekosistemlerindeki riski azaltmasına yardımcı olacak yenilikleri duyurdu.
Eskiden Longbow Security olarak bilinen Veracode Fix ve Veracode Risk Manager’daki en son geliştirmeler, geliştiricilere tercih ettikleri ortamda bir düğmeye tıklayarak yazılım oluşturma, riski değerlendirme ve düzeltme olanağı sağlıyor.
“Altı ay önce, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), siber güvenliği teknoloji ürünlerinin tasarımı ve üretimine dahil etme taahhüdünü gururla imzaladık. Bu sözü yerine getirmek için Veracode, güvenliği sola kaydıran ve bunu geliştiriciler için daha otomatik, sorunsuz bir deneyim haline getiren yeni özelliklere yatırım yapmaya devam ediyor,” dedi Veracode Ürün Yönetiminden Sorumlu Grup Başkan Yardımcısı Tim Jarrett.
Geliştiriciler için IDE’de yapay zeka destekli iyileştirme
Yapay zekanın patlaması, kodun artık her zamankinden daha hızlı yazıldığı anlamına geliyor; ancak buradaki zorluk, yapay zeka tarafından oluşturulan kodun, insan tarafından oluşturulan kodla yaklaşık aynı yüzdede kusur içermesidir. Kuruluşların yüzde 71’i yıllardır biriken kod güvenlik açıkları nedeniyle güvenlik borcuna boğulurken, geliştiricilerin kusur gidermeyi hızlandıracak araçlara acilen ihtiyacı var.
Düzeltme süresini aylardan dakikalara indirmek için yapay zeka ve insan uzmanlığını birleştiren Veracode Fix’teki en son yenilikler, geliştiricilerin artık birinci taraf zayıflıkların yüzde 80’ine kadar anında kod düzeltmelerine erişebileceği anlamına geliyor.
2.000 güvenlik açığı bulunan bir kuruluş için bu, aracın kullanılmasının, güvenlik borcunu temizleme süresini 2.400 saat kısaltabileceği ve manuel düzeltmeye kıyasla 240.000 ABD doları tasarruf edebileceği anlamına geliyor.
“Aracı seven ve onu iş akışlarına entegre etmek isteyen geliştiricilerin geri bildirimlerini dikkatle dinledik. Müşterilerimizin birçoğunun her gün GitHub gibi ortamlarda kurulum yapması nedeniyle Veracode Fix’i doğrudan Push/Pull request aktivitelerine dahil ettik. Esnek GitHub Eylemimiz, bir projedeki tüm dosyaları düzeltecek, desteklenen tüm kusur türlerini düzeltecek ve geliştiricilerin her düzeltme önerisine ayrı ayrı yorum bırakmasına olanak tanıyacak şekilde yapılandırılabilir,” dedi Jarrett.
Veracode Fix, tüm entegre geliştirme ortamlarında (IDE) mevcuttur; bu, geliştiricilerin CI/CD işlem hatlarındaki bir düğmeye basarak güvenlik açıklarını düzeltebilecekleri ve tasarım gereği güvenli yazılım oluşturduklarından emin olabilecekleri anlamına gelir.
Araç halihazırda müşterilerin güvenlik yeniliklerini ölçülebilir bir gerçekliğe dönüştürmelerine yardımcı oluyor. HDI Global SE Bulut Mimarı Phillip Hagedorn şunları söyledi: “Gelecekteki başarı faktörlerinden biri Veracode’un bulgularımızı düzeltmeye yardımcı olan yapay zekası olacak. Yapay zeka destekli düzeltmeler oyunun kurallarını değiştiriyor. Yapay zekadan yararlanmaya yönelik onaylanmış bir planımız var ve bunu uygulamaya koymanın zamanı geldi.”
Veracode’un en yeni IDE desteği sayesinde geliştiriciler, birinci taraf ve açık kaynak koddaki güvenlik açıklarını kod tabanına eklemeden önce bulup düzeltebilirler. Bu, Visual Code Studio, JetBrains (IntelliJ, PyCharm, Rider), Eclipse ve Visual Studio’da statik analiz ve yazılım kompozisyon analizi kullanarak daha akıcı iş akışları ve problem çözme anlamına gelir.
Güvenlik ekipleri için Veracode Risk Manager ile uygulama güvenliği duruş yönetimi
Veracode Fix’in yanı sıra, Veracode Risk Manager (VRM), koddan buluta kadar riski ilişkilendirir ve bağlamsallaştırır, birden çoğa düzeltmeyi mümkün kılmak için temel nedene kadar izler. Bu kapsamlı görünürlük, güvenlik ekiplerinin en az çabayla en kritik güvenlik açıklarını önceliklendirmesine ve ortadan kaldırmasına olanak tanır.
VRM’deki bir dizi yeni gelişme, geliştiricilere ve güvenlik ekiplerine risk yönetimi üzerinde daha da fazla kontrol sağlıyor. En yeni özellikler şunları içerir:
- GitLab veri havuzu bağlayıcısı: Çalışma zamanı sorunlarının kök neden analizini doğrudan kaynak kodu deposuna kadar takip ederek güçlendirerek ekiplerin risklerin kaynağını belirlemesine ve iyileştirmeyi hızlandırmasına olanak tanır.
- GitLab Nihai Güvenlik Bulguları: Statik Analiz ve Konteyner Güvenliği bulguları da dahil olmak üzere GitLab Ultimate Security Bulgularının alımını, birleştirilmesini, ilişkilendirilmesini ve önceliklendirilmesini sağlar. Bu, ekiplerin en önemli konulara odaklanmasına olanak tanır ve birleşik risk ve uyumluluk raporlaması sağlar.
- Özel uyumluluk eşlemeleri: Kuruluşlara uyumluluk eşlemelerini özel gereksinimlerine göre özelleştirmek için araçlar sağlayarak uyumluluk yönetimini kolaylaştırır.
- Yeni konektörler: VRM’de Tenable, Qualys, Rapid7, Aquasec, ServiceNow İki Yönlü senkronizasyon ve daha fazlası dahil olmak üzere birçok yeni yerel bulgu konektörü bulunur.
“VRM, bulutta yerel güvenliğin beynidir ve onu bulutta yerel bir dünyada savunmalarını güçlendirmeye kararlı kuruluşlar için vazgeçilmez bir araç haline getiriyor. Araç, parçalanmış görünürlük ve ölçeklenebilirlik sınırlamaları gibi yaygın zorlukları ele alıyor ve kuruluşların güvenlik açıklarına ilişkin 360 derecelik bir bakış açısıyla riskleri görselleştirme, önceliklendirme ve düzeltme biçimini dönüştürüyor. Bu yılın başında başlattığımız Uygulama Riski Isı Haritası ve Evrensel Konektör özellikleriyle birlikte bu en son geliştirmeler, VRM’yi güvenlik konusunda ciddi olan kuruluşlar için dönüştürücü bir yükseltme haline getiriyor,” dedi Jarrett.
Kuruluşların tasarım yoluyla güvenli bir yapı oluşturmasına yardımcı oluyoruz
Veracode’un yeni atanan Baş Ürün Sorumlusu Ravi Iyer, güvenliği ürün geliştirme sürecine dahil etmeye ve genel geliştirici deneyimini geliştirmeye odaklanıyor. “Bu son yenilikler, tasarımı itibariyle güvenli yazılım oluşturmanın, satın almanın ve dağıtmanın öneminin altını çiziyor. Müşterilerimizin riski geniş ölçekte tanımlamalarına, yönetmelerine ve iyileştirmelerine yardımcı olacak çözümlere ihtiyacı var ve biz de Veracode ürünlerini geliştiriciler için entegre ve kolay kullanımlı hale getirerek bu talebi karşılamaya devam edeceğiz” dedi.