Avoimen lähdekoodin käyttäminen antaa sovelluskehittäjille tilaisuuden tehdä sovelluksista enttistä parempia, nopeampia ja tehokkaampia, ja aivan lopuksi he tavallaan ilahduttavat sovellusten käyttäjiä tarpeellisilla ominaisuuksilla ja toiminnallisuuksilla. Tämä menettelytapa ei varmaankaan häviää – ainakaan pian – ja se on edelleen nostanut Veracoden intoa tehdä sovelluksista entistä turvallisempia. Juuri tästä syystä Veracode osti taannoin SourceClearin – yrityskaupan taustaideana oli, että yhdistämällä ohjelmiston koostumuksen analyysin (software composition analysis, SCA) tekniikat ohjelmistotalot voisivat kehittää entistä parempia sovelluksia avoimen lähdekoodin avulla tietoturvan säilyessä korkealla tasolla.
SourceClear integraatio on nyt valmis
Veracoden palvelun käyttäjillä onkin nyt mahdollisuus käyttää alan johtavaa ja skaalautuvaa SCA-ratkaisua, joka tarjoaa korkealaatuisen tuen SecDevOps-ympäristöille pilvipohjaisen Veracode Application Security Platform -palvelun kautta. Veracode SCA tarjoaa korkealaatuisen menetelmän haavoittuvuuksien havaitsemiseen. Menetelmä lisää SCA-tarkistuksen tulosten toimivuutta sekä mahdollisuutta vastaanottaa mahdollisia hälytyksiä uusista tai päivitetyistä haavoittuvuuksista ilman, että sovellusta tarvitsee skannata uudelleen.
Lisäksi Veracoden ratkaisu perustuu omaan kirjastoon ja haavoittuvuustietokantaan, joiden rakentamisessa on käytetty koneoppimista ja tiedon louhintaa. Näiden avulla menetelmät tunnistavat haavoittuvuuksia, joita ei ole saatavana haavoittuvuustietokannassa (NVD). Common vulnerabilities and exposures (CVE) lisäksi tietokanta sisältää nyt myös ns Reserved CVEt ja No-CVEt, jotka on havaittu tietojen louhinta- ja koneoppimismalleillamme.
Veracoden asiantuntijatiimi tarkistaa nämä tulokset kaikilla tuetuilla kielillä.
Mitä uusi SCA tarkoittaa DevOps -tiimeille?
DevOps -tiimeille Veracode SCA tarjoaa korjausohjeet, SaaS-pohjaisen skaalautuvuuden ja integroinnin Veracoden työkalujen kanssa. Näin käyttäjät saavat näkyvyyden kaikkiin käytettäviin suoriin ja epäsuoraan avoimen lähdekoodin kirjastoihin, kyseisten kirjastojen tunnettuihin ja tuntemattomiin haavoittuvuuksiin ja miten ne vaikuttavat sovelluksiin, hidastamatta kuitenkaan ohjelmoinnin nopeutta.
Lisäksi Veracode SCA on markkinoiden ainoa ratkaisu, joka tarjoaa kaksi vaihtoehtoa tehdä SCA-tarkistus, mikä tarjoaa näkyvyyden avoimen lähdekoodin haavoittuvuuksiin, kirjastoversioihin ja mahdollisiin lisensseihin.
1. Tavanomainen binäärin tarkistus
Perinteisen sovelluksen tarkistusprosessin avulla voit ladata sovelluksesi tai binaarisi Veracoden palveluun, jolla voi käynnistää skannauksia käyttöliittymän tai rajanpinnan kautta.
SCA-skannaus käynnistyy Veracode staattisen analyysin rinnalla. Staattisen analyysin arvioinnin aikana Veracode palvelu tekee SCA-skannauksen tarkistaakseen sovelluksen koostumuksen. SCAn tulokset toimitetaan staattinen analyysin vielä jatkuessa. Luettelo käytetyistä kirjastoista ja niiden versioista, tulokset verrattuna policy-määrittelyyn sekä avoimen lähdekoodin mahdolliset lisenssit.
Samassa yhteydessä on Veracode on laajentanut tukeaan uusille ohjelmointikielille ja s. Nykyisten Java-, JavaScript-, Node.js- ja .NET -ohjelmointikielien lisäksi Veracode tukee Golang-, Ruby-, Python-, PHP-, Scala-, Objective-C- ja Swift -ohjelmointikieliä.
2. Agenttipohjainen skannaus
Veracode SCA -agenttipohjaiset palvelun asiakkaat saavat käyttöönsä:
- Haavoittuvan metodin havaitseminen: Määritetään koodirivi, josta sovelluskehittäjät voivat selvittää, kutsuuko koodi avoimen lähdekoodin kirjaston haavoittuvaa osaa
- Auto Pull -pyynnöt: Veracode SCA tunnistaa haavoittuvuudet ja antaa suosituksia kirjaston turvallisemman version käyttämisestä. Tämä ominaisuus luo automaattisesti pull-pyynnöt, jotka voidaan liittää koodisi kanssa GitHubissa, GitHub Enterprisessa tai GitLabissa. Menetelmä tarjoaa koodaajalle korjauksen.
- Konttien skannaus: Skannaa Docker-kontit ja imatet avoimen lähdekoodin haavoittuvuuksista Linux-jakeluissa ja peruskirjastoissa.
Vaihtoehtona "kumpikin"
Molempia skannaustyyppejä voidaan käyttää joustavasti samaan sovellukseen. Agenttipohjaista skannausta voidaan käyttää kehittämisen aikana, ja perinteinen binaarien skannaus voidaan tehdä ennen sovelluksen käyttöönottoa. Skannaustuloksia arvioidaan edelleen valitun policyn perusteella ja käyttäjiä kehotetaan ryhtymään tarvittaviin toimiin tulosten pohjalta. Nämä toiminnot voidaan automatisoida integroimalla Jenkinsiin (tai muuhun CI-työkaluun).
Ei varmaakaan ole liioittelua sanoa, että jokaisesta yrityksestä on tavallaan tulossa ohjelmistoyritys ja avoimen lähdekoodin käyttöönotto kasvaa edelleen. Jos sovellusportfolion avoimen lähdekoodin komponenteihin on selkeä näkymä, haavoittuvuuksien kautta tapahtuva tietomurron riski laskee.
Uusi Veracode SCA auttaa käyttämään luotettavasti avoimen lähdekoodin komponentteja aiheuttamatta tarpeetonta riskiä.
Veracode’n verifioimaa koodia
Osoita sovelluskehityksesi tietoturvan erinomaisuus Veracode Verified -ohjelman avulla. Tällä tavoin teet tietoturvasta kilpailuedun – ja samalla teet ostamisen asiakkaillesi helpommaksi. Kun myynti toimii, takaat myös sen, että tietoturva saa arvoisensa aseman sovelluskehityksessä.
Veracode SOSS 9 – yhteenveto julkaistu suomeksi
Veracode State of Software Security 9 – yhteenveto nyt julkaistu ensimmäistä kertaa suomalaisilta suomalaisille ja ihan oikealla suomen kielellä.
Veracode SCA kirjastoanalyysi paljastaa haavoittuvuudet ja lisenssiriskit
Veracoden SCA-toiminto (Software Composition Analysis) havaitsee avoimen lähdekoodin kirjaston käyttöön liittyvät riskit, joita saattavat olla esim. vanhentuneet ja riskialttiit versiot. Lisäksi joihinkin avoimen lähdekoodin kirjastoihin saattaa liittyä myös lisenssiriski, jos sovellusta käytetään kaupallisiin tarkoituksiin.
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja