A porcentagem de código-fonte aberto em qualquer desenvolvimento de software empresarial é estimada entre 40% e 70%. Isso é um problema quando você tem pouco tempo para entregar o produto final, garantindo que a solução vai cumprir com as políticas de segurança de maneira correta. Como resolver o problema das vulnerabilidades no código open source?
O primeiro passo, sem dúvidas, é priorizar as descobertas das varreduras de software, a abordar as vulnerabilidades mais críticas e relevantes primeiro. Mas como fazer essa priorização? Para responder a essa pergunta, vamos analisar primeiro as maneiras de priorização mais comuns, e depois entenderemos como o Veracode executa essa abordagem.
Abordagens de priorização comuns
Abordagem com foco na ameaça: Esse tipo de abordagem se concentra nas falhas que são ativamente direcionadas à solta por meio de malware, exploits, ransomware ou agentes de ameaças.
Abordagem focada na vulnerabilidade: prioriza as falhas e vulnerabilidades de acordo com o quão críticas são. Por exemplo, como são fáceis de explorar, como é o impacto da exploração ou se há uma exploração pública disponível.
Abordagem focada em ativos: fornece as mais altas prioridades às vulnerabilidades associadas a ativos críticos e, em seguida, ordena o restante de acordo com o quão perigosos eles são.
Algumas empresas medem diferentes falhas e vulnerabilidades a partir do tipo de ataque que elas poderiam originar, adotando uma abordagem focada na ameaça. Isso também pode levar em consideração a maturidade de falhas conhecidas, que às vezes afetam o quão fácil é remediar, ou o quão explorável é na natureza.
Embora essas abordagens sejam um bom ponto de partida e cubram a ampla base de risco, há uma informação adicional que pode tornar mais fácil para as partes interessadas e desenvolvedores de segurança priorizarem suas descobertas de varredura de Análise de Composição de Software (SCA) ao operar com recursos limitados e limitações de tempo.
Métodos vulneráveis
Se o objetivo do AppSec é enviar código limpo rapidamente, o recurso de métodos vulneráveis do Veracode é essencial para atingir esse objetivo.
O recurso de métodos vulneráveis do Veracode vai além da gravidade e da capacidade de exploração de uma falha para responder à pergunta-chave para priorização: Como essa descoberta da varredura SCA é relevante para o meu código? A solução Veracode responde a essa pergunta apontando para a função / método preciso que torna uma biblioteca vulnerável. Isso permite que você avalie rapidamente se vale a pena o esforço para corrigir uma descoberta de SCA.
Uma vez que uma biblioteca é conhecida como vulnerável, a equipe de pesquisa de segurança da Veracode pesquisa e documenta a função / método exato que a torna vulnerável. Esta equipe de especialistas em segurança, cientistas de dados e programadores continua a adicionar novos idiomas ao nosso repositório de idiomas para os quais oferecemos cobertura de métodos vulneráveis.
Quando você estiver pronto para lidar com sua lista de pendências de segurança, examine como aplicativos específicos usam métodos vulneráveis e priorize-os de uma forma que reduza rapidamente a ameaça imediata.
Antecipando-se a possíveis explorações e, ao mesmo tempo, reduzindo dívidas de segurança e vulnerabilidades não resolvidas podem parecer assustadoras para desenvolvedores e profissionais de segurança, especialmente porque o código-fonte aberto só continua a aumentar em aplicativos corporativos. Mas com uma ferramenta como os métodos vulneráveis do Veracode, você pode ir além da gravidade ou da capacidade de exploração e se concentrar no que realmente importa para sua organização.
