Wie der Ansatz von Snyk zur Anwendungssicherheit die Mängel des Linksrucks behebt

Softwareentwickler haben es selten leicht. Vom Schreiben, Bearbeiten und Anklicken von Code bis hin zur Behebung von Fehlern und Sicherheitsproblemen, die in der Produktion auftreten, haben die meisten Unternehmen hohe Erwartungen an ihre Entwicklungsteams.

Der Ansatz der Linksverschiebung soll Sicherheitsprobleme in der frühesten Entwicklungsphase ausmerzen, hat aber irgendwie die Komplexität erhöht, mit der Entwickler konfrontiert sind.

„Die Landschaft verändert sich, sowohl Entwickler als auch Sicherheit; es ist einfach nicht mehr das, was es mal war“, sagte er Liran Tal (im Bild), Director of Developer Advocacy bei Synk Ltd., a Entwicklerorientierte All-in-One-Plattform zur Bereitstellung von Code, Abhängigkeiten, Containern und Infrastruktur als Code. “EINund was wir sehen, ist, dass Entwickler ermächtigt werden müssen. Sie brauchen Hilfe, wir arbeiten gerade an all diesen Sicherheitsproblemen, auftretende Sicherheitsvorfälle, Verwenden von Open Source, Erstellen von Cloud-basierten Anwendungen. “

Die aktuelle Entwicklungsumgebung ändert sich und daher werden einige grundlegende Praktiken nicht so reibungslos wie zuvor implementiert. Laut Tal ist Proaktivität ein Element, das im traditionellen Prozess des Linksrucks fehlt und in der heutigen Landschaft dringend benötigt wird.

Tal spricht mit Lisa Martin, Moderatorin von theCUBE, dem Live-Streaming-Studio von SiliconANGLE Media, vor der bevorstehenden AWS Startup Showcase: Offene Cloud-Innovationen Veranstaltung. Sie diskutierten die moderne Landschaft der Anwendungssicherheitsbedrohungen und wie Entwickler allen Bedrohungen bequem begegnen können. (* Offenlegung unten.)

Entlasten Sie die Frustration der Entwickler

Die Sicherheitsplattform für Entwickler von Snyk konzentriert sich direkt auf Entwicklungstools, Workflows und Automatisierungs-Pipelines, wodurch es einfacher wird, Schwachstellen und Sicherheitsbedrohungen im Voraus zu erkennen, so Tal, dessen Arbeit sich ausschließlich darauf konzentriert, Entwicklern dabei zu helfen, die Fülle an Sicherheit und Funktionen von voll auszuschöpfen DevOps.

„Das ist uns damals einfach aufgefallen Installieren Sie diese Sicherheitstools auf Entwicklern, die Snyk baut, diese ganze Sicherheitsplattform “in den Händen von Entwicklern in der erforderlichen Größenordnung und Geschwindigkeit, fügte Tal hinzu. „Also zum Beispiel undstatt finden Sie nur Sicherheitsprobleme in Open-Source-Abhängigkeiten … Sie Ich kann tatsächlich eine Download-Anfrage öffnen zu Ihrer Version der Quellcodes und Steuerungssysteme “, erklärte Tal.

Ein weiterer Teil des Rapid-Response-Ansatzes von Snyk zur Erkennung von Schwachstellen im Code ist die Einbettung von Erweiterungen in integrierte Entwicklungsumgebungen. Auf diese Weise werden Sicherheitslücken und mögliche Fehlerquellen bereits beim Speichern des Jobs erkannt. Dies steht in krassem Gegensatz zu anderen Sicherheitstest-Tools für Anwendungen, die im Hintergrund laufen und im Laufe der Zeit zusammenfassen. Snyks Ansatz ist besonders wertvoll angesichts der Tatsache, dass Entwickler heute schneller denn je arbeiten und schnell und kontinuierlich implementiert werden müssen.

Letztendlich macht es die Plattform so, dass Entwickler keine Sicherheitsexperten sein müssen. Indem Snyk ihnen offene Schwachstellen zeigt und die Tools und das Wissen bereitstellt, um diese Probleme zu beheben, macht Snyk Entwickler aktiv effektiver, sagte Tal.

In anderen Aspekten der Überbrückung der Wissenslücke im Bereich Sicherheit für Entwickler werden auch Wissensressourcen bereitgestellt, um Einstellungen wie komplexe Datenbanken vor bekannten Schwachstellen zu schützen.

„Als Akzent gibt es unzählige Referenzen die Benutzern Dinge wie Download-Anfragen bieten, Beheben Sie die Daten oder das Problem, an dem die Schwachstelle diskutiert wurde “, sagte Tal. „All diese Informationen zu haben, ermöglicht einen besseren Kontext wwodurch die Schwachstelle entstanden ist.”

Bringt Entwickler und Sicherheitsexperten zusammen

Die Softwareentwicklung und die Sicherheitsfunktionen einer Organisation sind nicht mehr vollständig voneinander getrennt. Daher müssen Organisationen laut Tal daran arbeiten, „eine kohärentere Umgebung für die beiden Arten von Fachwissen zu schaffen, um Synergien zu schaffen, um Sicherheitsprobleme zu mindern“.

Snyk ist eine Partnerschaft mit Amazon Web Services Inc. eingegangen. jahrelang. Daher gibt es eine breite Palette von Integrationen innerhalb der Plattform, vom Quellcode-Editor bis hin zu Code-Commitments und Container-Registern.

„Also am Ende des Tages, Snyk ist da, um Verbrauchern zu helfen und stellen Sie sicher, dass, wenn wir solche finden potenzielle Probleme, alles von Lizenzen zu Container-Schwachstellen oder einfach Open-Source-Code, er wird an der Quelle aufgeweicht“, sagte Tal.

Eine kürzlich entdeckte Log4Shell-Schwachstelle wurde in Eine Java-Bibliothek namens Log4J. Snyk nutzt sein Team-Ökosystem zur manuellen Lokalisierung dieser aufgezeichneten Ereignisse und eine autonome Informationsplattform und ist sich solcher Schwachstellen durch Benachrichtigungen in der Chatter-API bewusst.

„Und an dieser Stelle, bevor wir mit der CVE-Anforderung fortfahren und solche Sachen … Wir finden Schwachstellen sehr schnell und können sie der Datenbank hinzufügenSagte Tal.

Als Teil der jüngsten Verpflichtung von Snyk, sich zu verbessern Erfahrung von 28 Millionen Entwicklern weltweit, setzte das Unternehmen stark auf die Stärke der Gemeinschaft und gemeinsame Erfahrungen. Ein Beispiel ist seine Website für Entwickler, eine Community von Sicherheits- und Programmierexperten, die versuchen, voneinander zu lernen. Ein weiterer sind die Neuentwicklungen der Entwicklerfirma, von denen eine den Titel „The Big Fix“ trägt und am 25. Februar auf den Markt kommen soll.

Hier ist das vollständige Videointerview, Teil der Berichterstattung von SiliconANGLE und theCUBE vor der Veranstaltung von AWS Startup Showcase: Offene Cloud-Innovationen Veranstaltung. (* Offenlegung: Snyk sponsert dieses Segment von theCUBE. Weder Snyk noch andere Sponsoren haben die redaktionelle Kontrolle über den Inhalt von CUBE oder SiliconANGLE.)

Foto: SiliconANGLE