Veracode, geliştirici deneyimini geliştirecek ürün yeniliklerini duyurdu. Yeni özellikler, güvenliği yazılım geliştirme yaşam döngüsüne (SDLC) entegre ediyor ve geliştiricilerin çalıştığı ortamlarda uygulama güvenliği tekniklerinin benimsenmesini teşvik ediyor.
Analist firması IDC tarafından yakın zamanda yapılan bir araştırmaya göre kuruluşların %84’ü geliştiricilerin güvenlik araçlarını kabul etmesinin DevSecOps’un benimsenmesi için “en önemli gereklilik” veya “çok önemli bir gereklilik” olduğunu söylüyor. Veracode’un en son yenilikleri, SDLC genelinde bulut tabanlı uygulamaların güvenliğini sağlamaya yönelik yaklaşımı yeniden tanımlayarak şirketin kapsamlı güvenlik riski yönetimi için birleşik bir platform sağlama konusundaki kararlılığını güçlendiriyor.
Veracode CPO’su Brian Roche şunları söyledi: “Geliştiriciler, yenilikleri hızlı bir şekilde sunma konusunda büyük bir baskıyla karşı karşıya kalıyor ve süreci hızlandırmak için sıklıkla Yüksek Lisans ve açık kaynak gibi mekanizmalara başvuruyorlar. Ne yazık ki bu yaklaşım, güvenli olmayan kod tüketimine ve güvenlik risklerini azaltmak yerine daha da artıran çözümlere yol açabilir. Bu durum, geliştiriciler için süreci basitleştirmek yerine karmaşıklık katan mevcut güvenlik araçlarıyla daha da kötüleşiyor.
Veracode, yalnızca riski izleyip azaltmakla kalmayıp aynı zamanda depolar, IDE’ler ve bulut genelinde geliştirici iş akışlarını kolaylaştıran birleşik bir platform sağlayarak bu zorluğun üstesinden gelir. Geliştirici dostu güvenlik araçları sunarak, kuruluşların güvenli yazılımları daha hızlı sunmalarını sağlayarak güvenlik ve hız arasında uzlaşma ihtiyacını ortadan kaldırıyoruz.”
Bir sonraki sınır: DAST Essentials
Web uygulamalarının ihlallerin %60’ını oluşturduğu ve API saldırılarının 2022’de %137 oranında hızla arttığı bir dünyada, bulutta yerel uygulamaların yeterince korunmasını ve sürekli izlenmesini sağlamak çok önemlidir. Dinamik tarama, güvenli bir ortamda gerçek dünyaya ait saldırı yöntemlerini kullanarak canlı çalışma zamanı sistemlerini analiz eder ve üretim öncesi bir ortamda (SDLC içerisinde) gerçekleştirilebilir.
Geleneksel nokta çözümleri yetersiz kalıyor ve çoğunlukla büyüyen kuruluşların ihtiyaç duyduğu ölçeklenebilirlik ve esnekliği sunmuyor. Buna karşılık Veracode’un DAST Essentials’ı, geliştiricilerin ve güvenlik ekiplerinin riskleri hızlı ve geniş ölçekte kolayca ele almalarına olanak tanıyan çevik bir çözümdür.
“Kuruluşlar sürekli genişleyen bir saldırı yüzeyini güvence altına alma zorluğuyla boğuşmaya devam ederken, kapsamlı çözümlere duyulan ihtiyaç yadsınamaz. Geliştirme hızını sağlam güvenlikle dengelemek, düzenli dinamik taramaların zaman alıcı doğası ve geliştirme ile güvenlik ekipleri arasındaki kopukluk nedeniyle engellenen göz korkutucu bir görevdir,” dedi IDC DevOps ve DevSecOps kıdemli araştırma analisti Katie Norton.
Norton, “Veracode DAST Essentials gibi entegre olan ve geliştiriciler için anlaşmazlıkları azaltan çözümler, güvenli yazılım geliştirmeyi hızlandırmaya, iyileştirme çabalarını birleştirmeye ve kuruluşların gelişen siber güvenlik ortamında savunmalarını güçlendirmelerine yardımcı olabilir” diye ekledi.
Müşteri tarafından bildirilen en düşük yanlış pozitif oranlarından biriyle (yüzde beşin altında), Veracode DAST Essentials aynı anda birden fazla web uygulamasını ve API’yi (Uygulama Programlama Arayüzleri) tarar ve test eder. Veracode’un Yazılım Güvenliği Durumu araştırması, web uygulamalarının %80’inin yalnızca dinamik tarama yoluyla tanımlanabilecek kritik güvenlik açıklarına sahip olduğunu ortaya çıkardı. Bu, DAST’ın (Dinamik Uygulama Güvenliği Testi) güçlü bir uygulama güvenliği programında oynadığı kritik rolü vurgulayarak kuruluşların bulutta yerel yazılımlardaki istismar edilebilir güvenlik açıklarını doğru ve hızlı bir şekilde ele alabilmesini sağlar.
Tedarik zinciri çözümleri uzmanı Manhattan Associates, dinamik analiz ve bulut tabanlı güvenlik programı konusunda Veracode ile ortaklık kurmayı seçti. Manhattan Associates Araştırma & Geliştirme ve Bulut Operasyonlarından Sorumlu Başkan Yardımcısı Rob Thomas şunları söyledi: “Veracode’un sektördeki görev süresi ve bulut tabanlı olmaları, sürekli olarak yeni inovasyonlar sunabilecekleri anlamına geliyor. Veracode gibi bulut tabanlı bir ortağa sahip olmak, yazılımımızı sürekli olarak taramamızı sağlıyor, böylece çözümümüzün mümkün olduğunca güvenli olduğuna dair gerçek zamanlı güvene sahip oluyoruz.”
Geliştirici iş akışlarını iyileştirme: Veracode GitHub Uygulaması
Veracode, geliştiricilerin iş akışlarını aksatmadan bulutta yerel güvenlik önlemlerini benimseme konusunda karşılaştıkları zorlukların farkında. Veracode GitHub Uygulaması, geliştiricilerin benimsenmesini kolaylaştırarak uygulama güvenliği ekiplerinin geliştiricileri bir kez ve sorunsuz bir şekilde yapılandırmasına olanak tanır.
Bu entegrasyon, geliştiricilerin statik, yazılım bileşimi analizi (SCA) ve konteyner güvenliği taraması için tek bir araçla çalıştıkları ortamlarda kodu hızlı bir şekilde düzeltmelerine olanak tanır. Sonuç, güvenlikten ödün vermeyen, daha hızlı, sorunsuz bir geliştirme sürecidir.
Gelişmiş repo taraması
Bulutta yerel uygulamaları ilk kez taramak genellikle manuel, karmaşık ve sinir bozucu bir süreçtir. Veracode GitHub Uygulaması, geliştiricilere tercih ettikleri ortamda sorunsuz tarama sonuçları sağlayarak bunu basitleştirir. DevOps ekipleri, manuel kurulum gerektirmeden depoları kolayca ekleyebilir, geliştirme hızını koruyabilir ve tarama süreçlerini düzene koyabilir.
Tek bir tıklama kullanarak yüzlerce veri havuzundaki tarama yapılandırmalarını standartlaştırma yeteneği sayesinde DevOps ekipleri, anlaşmazlıkları azaltabilir ve geliştirme döngüsünde çok daha erken bir zamanda bulutta yerel güvenliği entegre edebilir.
Roche sözlerini şöyle tamamladı: “Bulutta yerel uygulamaların güvenliğini sağlamak hiç bu kadar önemli olmamıştı. Geliştiriciler kodu yazdıkları kadar bir araya getiriyorlar; bu da en titizlikle oluşturulmuş uygulamaların bile tehdide açık olduğu anlamına geliyor. Yazılım tedarik zincirini korumak için modern uygulama geliştirme, güvenlik uygulamalarında paradigma değişikliği gerektirir. Dağıtılmış bulut uygulaması geliştirme yöntemleri yaygınlaştıkça, bu en son ürün yenilikleri, Veracode’un dijital geleceğimizi güvence altına alma sorumluluğuna liderlik etmek için bulut tabanlı ortamın dinamik doğasını benimsediğini gösteriyor.”