Scienza e Tecnologia
En un contexto donde los desarrolladores intentan priorizar la deuda de seguridad, Veracode anuncia sus innovaciones más recientes para identificar y unificar el riesgo crítico
Conferencia Black Hat USA (cabina 2536) –Veracode, líder global en gestión de riesgo de aplicaciones, anunció hoy innovaciones en su plataforma para ayudar a que las organizaciones detecten, prioricen y reduzcan la deuda de seguridad en una superficie de ataque cada vez mayor. Universal Connector y Application Security Heatmap, las dos flamantes funcionalidades de Longbow con tecnología de Veracode, permiten que las organizaciones vinculen rápidamente hallazgos de cualquier fuente y vean cuáles son las aplicaciones que contribuyen la mayor parte del riesgo. Juntos, Universal Connector y Application Security Heatmap ofrecen un panorama claro y operativo de recursos y problemas, para permitir que las acciones de corrección se prioricen según el riesgo cuantificable.
Este comunicado de prensa trata sobre multimedia. Ver la noticia completa aquí: https://www.businesswire.com/news/home/20240801274954/es/
Figure 1: State of Software Security 2024 Language Snapshot (Graphic: Business Wire)
“La combinación de una deuda de seguridad cada vez más grande, una superficie de ataque cada vez mayor que es más vulnerable debido a la IA generativa y un volumen abrumador de alertas de seguridad, hace que para las organizaciones sea muy complejo saber qué riesgos de aplicaciones priorizar”, explicó Chris Eng, director de investigación de Veracode. “De hecho, nuestra investigación Informe del Estado de la seguridad del software demuestra que muchas organizaciones se dedican más a resolver fallas de seguridad baja que fallas críticas. Los líderes de seguridad necesitan una tecnología que les permita detectar y gestionar de manera efectiva el riesgo de aplicaciones, para luego reducir ese riesgo concentrándose en los problemas más importantes en toda la superficie de ataque”.
Priorización de la deuda de seguridad: crítica y no crítica
En su resumen de lenguaje del Informe del Estado de la seguridad del software 2024, Veracode reveló la prevalencia variable de deudas de seguridad “críticas” y “no críticas” entre aplicaciones escritas en diferentes lenguajes. Según este informe, una deuda de seguridad crítica se define como fallas de seguridad alta que se dejan sin corregir durante más de un año. Si se explotan, estas fallas podrían representar un riesgo grave para la integridad y la disponibilidad de las organizaciones.
La investigación demostró que aunque la mayor parte de la deuda de seguridad existe en código propio programado por desarrolladores internos, la parte más crítica se encuentra en código de terceros (por ejemplo, software de código abierto importado en la base de código). Por ejemplo, el 80 por ciento de la deuda crítica en aplicaciones de Java y el 63 por ciento de la deuda crítica en aplicaciones JavaScript es código de terceros. El informe también detectó alrededor de un 51 por ciento de fallas críticas en aplicaciones Java que se convierten en deudas de seguridad, aunque solo el 45 por ciento de las fallas de seguridad media a baja terminan convirtiéndose en deuda de seguridad.
Eng señaló: “Con el desbordante volumen de fallas de seguridad, los desarrolladores no están priorizando los que presentan el riesgo más grande. Aunque concentrarse en fallas no críticas puede dar como resultado algunas correcciones rápidas, los desarrolladores deberían usar sus capacidades limitadas para trabajar en la corrección de fallas críticas, que son las que tienen mayor potencial de afectar la seguridad”.
Universal Connector y Application Security Heatmap ponen la visibilidad y la priorización arriba de todo en la lista
Luego de que Veracode adquiriera Longbow Security en abril de este año, y tras la presentación de la funcionalidad Repo Risk Visibility and Analysis de Longbow en mayo, Universal Connector y Application Security Heatmap fueron diseñados pensando en el tiempo con el que cuentan los desarrolladores. Estas funcionalidades permiten tener una supervisión operativa para ayudar a que los desarrolladores y los equipos de seguridad identifiquen y prioricen rápidamente las correcciones más importantes de una deuda de seguridad en permanente crecimiento en sus aplicaciones.
Universal Connector permite que las organizaciones accedan rápidamente a datos de fuentes dispares que de otro modo no podrían incorporar a la plataforma de Longbow; esto significa que no deben esperar un conector específico para cada herramienta. Application Security Heatmap mapea la aplicación hasta encontrar al propietario y muestra una tendencia de riesgo de 90 días, además de permitir la personalización del umbral de riesgo para que cumpla con políticas organizacionales. Los equipos de seguridad y los desarrolladores de las aplicaciones pueden analizar cada aplicación, ver el riesgo de distribución e implementar recomendaciones para Best Next Action™ a fin de corregir ese riesgo.
“En un contexto donde las organizaciones buscan encontrar y corregir una deuda de seguridad crítica cada vez más grande, la necesidad de contar con priorización y visibilidad basadas en el riesgo es clara”, explicó Derek Maki, vicepresidente de gestión de productos de Veracode. “Las nuevas funcionalidades en la plataforma de Longbow les ofrecen a nuestros clientes una comprensión más profunda de las aplicaciones más riesgosas para una organización, además de brindarles la exclusiva capacidad de identificar las cinco soluciones con mayor impacto positivo”.
Potenciado por la adquisición de Longbow, Veracode salva la brecha entre los equipos de desarrollo y seguridad para ofrecer visibilidad desde repositorios de código hasta recursos de nube y tiempos de ejecución. Longbow también identifica riesgos de configuraciones erróneas e infraestructura como código para recursos de nube originados en repositorios.
Las funcionalidades Universal Connector y Application Security Heatmap de Longbow estarán disponibles de inmediato. Para obtener más información, visite el sitio web o mire la entrevista con Brian Roche, director ejecutivo de Veracode, y Derek Maki.
El resumen de lenguaje completo del Informe del Estado de la seguridad del software 2024 está disponible en el sitio web de Veracode.
Los visitantes a la conferencia Black Hat USA, que se llevará a cabo del 3 al 8 de agosto de 2024, pueden obtener más información sobre la plataforma de Veracode y estas nuevas funcionalidades visitando la cabina 2536 de Veracode y solicitando una demostración.
Acerca del Informe del Estado de la seguridad del software
El informe del Estado de la seguridad del software 2024 de Veracode ha analizado datos de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. La investigación se basa en más de un millón (1 007 133) de aplicaciones de todos los tipos de análisis, 1 553 022 análisis dinámicos y 11 429 365 análisis estáticos. Todas esas comprobaciones generaron 96 millones de resultados estáticos en bruto, 4 millones de resultados dinámicos en bruto y 12,2 millones de resultados de análisis de composición de software en bruto.
Acerca de Veracode
Veracode es líder internacional en administración de riesgos de aplicaciones para la era de la IA. Impulsada por billones de líneas de escaneos de código y un motor propio de corrección asistida por IA, la plataforma Veracode cuenta con la confianza de organizaciones de todo el mundo para construir y mantener software seguro desde la creación del código hasta el despliegue en la nube. Miles de los principales equipos de desarrollo y seguridad del mundo usan Veracode cada segundo de cada día para obtener una visibilidad precisa y procesable de los riesgos de explotación, lograr la corrección de vulnerabilidades en tiempo real y reducir su deuda de seguridad a escala. Veracode es una empresa galardonada con múltiples premios que ofrece capacidades para asegurar todo el ciclo de vida de desarrollo de software, incluyendo Veracode Fix, el análisis estático, el análisis dinámico, el análisis de composición de software, la seguridad de contenedores, la administración del estado de seguridad de las aplicaciones y las pruebas de intrusión.
Obtenga más información en www.veracode.com, en el blog de Veracode, y en LinkedIn y X.
Copyright © 2024 Veracode, Inc. Todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. Todas las demás marcas citadas en este documento pertenecen a sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20240801274954/es/
Copyright Business Wire 2024Para más información, comunicarse con
Katy Gwilliam
kgwilliam@veracode.com