ALLGEMEINER BLOG

Wie der Ansatz von Snyk zur Anwendungssicherheit Shift-Links-Mängel behebt

admin

Softwareentwickler haben es selten leicht. Vom Schreiben, Bearbeiten und Pushen von Code bis hin zur Behebung von Fehlern und Sicherheitslücken, die während der Produktion aufgedeckt werden, sind die Erwartungen, die die meisten Unternehmen an ihre Entwicklungsteams haben, immens.

Der „Shift-Left“-Ansatz wurde konzipiert, um Sicherheitslücken in den frühen Phasen der Entwicklung zu beseitigen, hat aber in gewisser Weise die Entwicklerkomplexität erhöht.

„Die Landschaft verändert sich, sowohl für Entwickler als auch für die Sicherheit; es ist einfach nicht mehr das, was es mal war“, sagte er Liran Talic (im Bild), Director of Developer Advocacy bei Synk Ltd., a entwicklerorientierte All-in-One-Plattform zum Sichern von Code, Abhängigkeiten, Containern und Infrastruktur als Code. “EINWas wir sehen, ist, dass Entwickler mehr Befugnisse erhalten sollten. Sie brauchen etwas Hilfe Beheben Sie einfach all diese Sicherheitsprobleme, Sicherheitsvorfälle passieren, Erstellen von Anwendungen mit Cloud-nativen Open-Source-Anwendungen.“

Die moderne Entwicklungsarena verändert sich, weshalb einige grundlegende Praktiken nicht mehr so ​​​​nahtlos angewendet werden können wie früher. Proaktivität ist ein Element, das im traditionellen Shift-Left-Prozess fehlt und laut Tal in der aktuellen Landschaft dringend benötigt wird.

Tal sprach mit Lisa Martin, Moderatorin von theCUBE, dem Live-Streaming-Studio von SiliconANGLE Media, vor der bevorstehenden AWS Startup Showcase: Open-Cloud-Innovationen Veranstaltung. Sie diskutierten über die moderne Landschaft von App-Sicherheitsbedrohungen und darüber, wie Entwickler leicht mit Bedrohungen umgehen können. (*Offenlegung unten.)

Reduzieren Sie die Frustration der Entwickler

Die Entwickler-Sicherheitsplattform von Snyk fließt direkt in Entwicklungstools, Workflows und Automatisierungspipelines ein, wodurch es einfach ist, Schwachstellen und Sicherheitsrisiken im Voraus zu erkennen, so Tal, dessen Aufgabe sich ausschließlich darauf konzentriert, Entwicklern dabei zu helfen, die Fülle an Sicherheits- und DevOps-Funktionen voll auszuschöpfen .

„Was wir tun mussten, ist eigentlich Setzen Sie diese Entwickler-Sicherheitstools ein, Das ist es, was Snyk baut, diese ganze Sicherheitsplattform „in den Händen der Entwickler in der erforderlichen Größenordnung und Geschwindigkeit“, fügte Tal hinzu.stattdessen davon ab, nur Sicherheitslücken zu finden in Open-Source-Abhängigkeiten … Sie kann tatsächlich einen Pull-Request öffnen zu Ihrer Quellcodeversion und Ihren Verwaltungssystemen“, erklärt Tal.

Ein weiterer Teil des Rapid-Response-Ansatzes von Snyk zur Erkennung von Schwachstellen im Code ist die Einbettung von Erweiterungen in integrierte Entwicklungsumgebungen. Darüber hinaus werden Sicherheitslücken und potenzielle Fehlerpunkte beim Speichern der Arbeit erkannt. Dies steht in krassem Gegensatz zu anderen Tools zum Testen der Anwendungssicherheit, die im Hintergrund ausgeführt werden und nach einiger Zeit zusammengefasste Berichte liefern. Der Ansatz von Snyk ist besonders wertvoll, wenn man bedenkt, dass Entwickler heute mit schnelleren Zeitplänen als je zuvor arbeiten und schnell und konstant implementieren müssen.

Letztendlich sorgt die Plattform dafür, dass Entwickler keine Sicherheitsexperten sein müssen. Indem Snyk ihnen die erkannten Schwachstellen zeigt und die Tools und das Wissen bereitstellt, um diese Probleme zu beheben, trägt Snyk aktiv dazu bei, Entwickler effizienter zu machen, sagte Tal.

In anderen Aspekten der Überbrückung der Wissenslücke im Bereich der Entwicklersicherheit wurden auch Wissensressourcen bereitgestellt, um Setups wie komplexe Datenbanken vor bekannten Schwachstellen zu schützen.

Als Highlight gibt es unzählige Referenzen die Benutzern Dinge wie Pull-Requests bieten, Fix-Daten oder das Problem, wo die Schwachstelle besprochen wurde“, sagte Tal. „Wenn Sie all diese Informationen zur Hand haben, erhalten Sie einen besseren Kontext über: mit wemhat die Schwachstelle wettgemacht.“

Entwickler und Sicherheitsexperten zusammenbringen

Die Softwareentwicklung und die Sicherheitsfunktionen einer Organisation sind nicht mehr vollständig voneinander getrennt. Daher müssen Organisationen daran arbeiten, „eine kohärentere Umgebung für beide Arten von Fachwissen zu schaffen, um Synergien bei der Minderung von Sicherheitslücken zu schaffen“, sagte Tal.

Snyk arbeitet seit Jahren mit Amazon Web Services Inc. zusammen. Daher gibt es eine breite Palette von Integrationen innerhalb der Plattform, vom Quellcode-Editor bis hin zu Code-Commits und Container-Registrierungen.

Also am Ende des Tages Snyk ist hier, um Benutzern zu helfen und stellen Sie sicher, ob wir einen finden Mögliche Probleme, alles von Lizenzen zu Container-Schwachstellen oder einfach nur Open-Source-Code, wird er an der Quelle gemildert”, sagte Tal.

Die aktuelle Log4Shell-Schwachstelle wurde gefunden in: Java-Bibliothek namens Log4J. Mithilfe seines Ökosystems von Teams, die diese protokollierten Ereignisse manuell finden, und einer autonomen Informationsplattform wird Snyk durch Benachrichtigungen auf der Chatter-API auf solche Schwachstellen aufmerksam gemacht.

Und an dieser Stelle, bevor es an die CVE-Anforderung geht und solche Sachen… Wir finden Schwachstellen sehr schnell und können sie der Datenbank hinzufügen«, sagte Tal.

Als Teil von Snyks jüngstem Engagement für die Erfahrungen von 28 Millionen Entwicklern weltweithat sich das Unternehmen stark auf die Kraft der Gemeinschaft und gemeinsame Erfahrungen verlassen. Ein Beispiel ist die Entwickler-Website, eine Community von Sicherheits- und Programmierexperten, die versuchen, voneinander zu lernen. Eine andere ist die neue Reihe von Entwicklerveranstaltungen des Unternehmens, von denen eine den Titel „The Big Fix“ trägt und am 25. Februar startet.

Hier ist das vollständige Video-Interview, Teil der Berichterstattung vor der Veranstaltung von SiliconANGLE und theCUBE AWS Startup Showcase: Open-Cloud-Innovationen Veranstaltung. (*Offenlegung: Snyk hat dieses Segment von theCUBE gesponsert. Weder Snyk noch andere Sponsoren haben die redaktionelle Kontrolle über die Inhalte auf theCUBE oder SiliconANGLE.)

Foto: SiliconANGLE

Zeigen Sie Ihre Unterstützung für unsere Mission, indem Sie unserer Experten-Community Cube Club und Cube Event beitreten. Treten Sie der Community bei, zu der Andy Jassy, ​​CEO von Amazon Web Services und Amazon.com, Michael Dell, Gründer und CEO von Dell Technologies, Pat Gelsinger, CEO von Intel, und viele weitere Prominente und Experten gehören.

In, , , , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *

Previous post Laut dem CEO von Kubecost könnten Unternehmen 80 % ihrer Kubernetes-Ausgaben verschwenden
Next post Sicherheitslücke in Safari 15 gibt Benutzeridentität und Website-Verlauf preis

More Stories