Los líderes de seguridad y los desarrolladores de software se beneficiarán de una mayor visibilidad de la postura de seguridad del desarrollo de software de sus organizaciones mientras trabajan, impulsando los avances hacia el nirvana del llamado código seguro por diseño, con la introducción de una solución pionera en la industria de un especialista del sector. Guerrero del código seguro (SCW).
SCW Trust Agent llega inmediatamente después de la introducción de SCW Trust Score, un punto de referencia de la industria que cuantifica, por primera vez, la competencia en seguridad de los desarrolladores de software dentro de las organizaciones.
Utiliza el mismo conjunto de datos de millones de puntos de aprendizaje recopilados de cientos de miles de desarrolladores para ayudar a los usuarios a comprender si el código que se envía a repositorios públicos de código abierto basados en Git está listo para funcionar o si podría ser un riesgo en el futuro. Espera que la solución se convierta en una parte integral del ciclo de vida del desarrollo de software seguro.
“En Secure Code Warrior, estamos desbloqueando un nuevo valor para los CISO al brindarles una solución fácil de implementar para medir el estado de las confirmaciones de código y la visibilidad de los cientos de repositorios de código fuente en su organización”, dijo Pieter Danhieux, director general de la firma. cofundador y director ejecutivo.
“Nuestras innovaciones están colocando a las organizaciones en una mejor posición para cerrar la brecha de visibilidad entre las habilidades de un desarrollador y la calidad del código producido sin sacrificar la velocidad de desarrollo”.
Trust Agent funcionará con cualquier repositorio basado en Git, incluidos GitHub, GitLab, Atlassian Bitbucket y otros. Funciona examinando el código comprometido para ver si quien lo subió tiene el conjunto de habilidades de código seguro prescrito en el lenguaje de programación de ese compromiso, y utiliza esa información para calificar el estado del compromiso. Estas calificaciones patentadas pueden luego agregarse a otros repositorios.
SCW cree que Trust Agent ofrecerá mayor control y flexibilidad en lo que respecta al control de acceso de los desarrolladores. Por ejemplo, permitirá a los administradores establecer políticas y criterios para garantizar que los desarrolladores cumplan con un conjunto básico de expectativas antes de comenzar el trabajo, mientras que para cualquier brecha de habilidades identificada a través de su uso, se puede poner en juego la plataforma de aprendizaje ágil de la empresa.
En general, dijo, la solución ofrecerá controles de seguridad mejorados, con configuraciones de políticas personalizables según la sensibilidad de las necesidades del proyecto; visibilidad integral, incluida información procesable sobre la postura de seguridad de las confirmaciones de código; y seguridad a escala dirigida por desarrolladores, lo que permite que los proyectos se entreguen de forma más rápida y segura, con equipos de seguridad de aplicaciones libres para centrarse en las revisiones más sensibles.
Caos de CrowdStrike
Si bien SCW no ha afirmado si sus soluciones podrían haber evitado colectivamente el caos causado por una actualización dudosa de CrowdStrike que bloqueó temporalmente millones de máquinas con Windows la semana pasada, el lanzamiento se produce en un momento en el que la integridad del desarrollo de software es muy alta. en la agenda.
Sin embargo, ahora que el problema que provocó el incidente se ha identificado con seguridad como un fallo de seguridad del software C++ relativamente común conocido como desreferencia nula en la memoria del kernel, Danhieux reiteró los recientes llamamientos de las autoridades de seguridad (como CISA en EE. UU.) instando a los desarrolladores a alejarse de lenguajes no seguros para la memoria para evitar mejor tales vulnerabilidades.
Escribiendo en la plataforma de redes sociales LinkedIn, dijo que habría sido una tarea difícil para CrowdStrike. Esto se debe a que la mayor parte del código a nivel de kernel está escrito en C++, por lo que las cosas que se cargan en la memoria del kernel o que necesitan acceder a ella, como la detección y respuesta de puntos finales (EDR) en el caso de CrowdStrike, deberán usarlo en el futuro previsible.
Danhieux dijo que los errores de desreferencia nula podían ocurrir en múltiples circunstancias y eran “errores bastante inocentes y fáciles de cometer”.
Sin embargo, añadió, las organizaciones aún deberían tomar medidas para evitarlos en sus proyectos. “Una vez que un atacante los descubre, pueden usarse en un ataque de denegación de servicio o simplemente bloquear la aplicación o todo el sistema operativo”, explicó.
“SCW tiene pautas de codificación específicas del lenguaje, videos de microaprendizaje y múltiples desafíos prácticos de codificación en C/C++ en torno a la desreferencia nula”, agregó Danhieux.