Viime kesänä julkaistu GitLabin tutkimusraportti (2019 Global Developer Report) nosti esille muutamia tärkeitä teemoja: tietoturvallinen koodi, näkyvyyden kasvattaminen sekä yhä nopeammat kehityssyklit ja usein toistuvat käyttöönotot.
Veracode on nyt tavallaan vastannut kehittäjien esittämiin teemoihin ja julkisti äskettäin uudistetun staattisen analyysin (SAST) skannerin. Tietoturvatestauksen pitää pysyä mukana prosessissa, jotta se ei hidasta kehitystyötä, vaan antaa sille jopa vauhtia.
Veracoden stattisen analyysiin kehitettiin aivan uusi skannausmenetelmä, jonka avulla skannaukset voidaan integroida ja optimoida yhä paremmin osaksi kehitysprosessia. Kahden aiemman skannausmenetelmän, IDE Scan ja Policy Scan, ohella Pipeline Scan tekee tietoturvasta saumattoman osan kehitysprosessia.
Staattisen analyysin skannausmenetelmät
IDE Scan - Develop
IDE Scanin (entinen Greenlight) avulla koodari saa välittömästi palautteen työstämänsä koodiin mahdollisesti tulleista haavoittuvuuksista tai muista tietoturvaongelmista. Skannaus vie vain muutamia sekunteja, jolloin koodaaja voi korjata virheet nopeasti. IDE Scan integroituu CI-alustaa ja näyttää mahdolliset ongelmat suoraan koodissa, jolloin koodari saa välittömän visuaalisen palautteen. Veracoden mukaan IDE Scania käyttävissä yrityksissä koodausvirheiden määrää on laskenut jopa 60 prosenttia.
Policy Scan - Deploy
Policy Scan on staattisen analyysin keskeinen menetelmä. Skannauksen avulla varmistetaan, että julkaistava sovelluspaketti täyttää yrityksen asettamat tietoturvavaatimukset. Tulokset esitetään selkeästi ja visuaalisesti clear/pass -tuloksina. Tulosten avulla kehitystiimit ja kehityksestä vastaava johto saavat selkeän palautteen sovelluksen tietoturvan tilasta. Skannaukseen kuluvan ajan mediaani on n. 8 minuuttia. Aika toki vaihtelee sovelluksen koon, ohjelmointikielen ja tehtyjen muutosten mukaan.
Jokainen em. skannauksista käyttää Veracoden staattisen analyysin alustaa, jolla tehtiin 7 miljoonaa skannausta vuonna 2019. Vääriä (false positive) havaintoja oli vain 1.1 prosenttia.
Lisätietoja esim. Veracoden staattisen analyysin teknisestä dokumentaatiosta
Pipeline Scan - Integrate
Pipeline Scan on täysin uusi skannausmenetelmä, jota käytetään aina kun sovelluksesta tehdään ns. build. Pipeline Scan on tarkoitettu kehitystiimin työkaluksi, joka integroidaan CI-alustaan ja skannaus voidaan tehdä jokaisen commitin jälkeen. Skannausajan mediaani on n. 90 sekuntia.
Pipeline Scan ei tuota virallisia skannaustuloksia tai historiatietoa eikä se hyödynnä asetettuja politiikoita. Sen tarkoitus onkin olla pikaisin mahdollinen vilkaisu nykytilanteeseen. Buildi voi merkata epäonnistuneeksi jos siitä löytyy vakavia haavoittuvuuksia. Skanneri käyttää CWE-luokituksen mukaista asteikkoa. Integrointi voidaan tehdä useimpiin CI-alustoihin.
LATAA:
