Actualmente, 96% de las personas en puestos ejecutivos clasificaron el aumento de la productividad de desarrolladores como una prioridad media o alta, y 68% de las organizaciones tienen por disposición su Dirección Ejecutiva (CEO, por sus siglas en inglés) la política de impedir la ralentización del proceso de desarrollo. Por esto, la implementación de aplicaciones se ha acelerado: 27% de desarrolladoras globales lanzan nuevas versiones de código al menos una vez al mes, con 100 mil millones de líneas nuevas cada año.
La Seguridad de las Aplicaciones (AppSec) se ha quedado atrás. Durante años, las aplicaciones han tenido un promedio de 26.7 problemas graves cada una y 25% de las brechas provienen de las vulnerabilidades de las aplicaciones.
Las herramientas de seguridad heredadas como las pruebas estáticas de seguridad de aplicaciones (SAST), las pruebas dinámicas de seguridad de aplicaciones (DAST) y el análisis de composición de software (SCA) ralentizan el desarrollo. Estos procesos manuales y tareas no automatizadas consumen, en promedio,17 horas a la semana por cada persona que se dedica a procesos de desarrollo.
SAST analiza cada línea de código, causando retrasos e ineficiencias operativas. Peor aún, el código base debe escanearse de nuevo cada vez que hay cambios, aun cuando la mayoría del código no cambió.
El DAST analiza la respuesta de una aplicación a un ataque simulado, pero no las causas de las vulnerabilidades – quienes realizan el desarrollo buscan los errores y los correlacionan con los informes del DAST, que encuentra problemas y vulnerabilidades visibles desde el exterior pero depende de los scripts de prueba y toma mucho tiempo, tanto la búsqueda como la remediación.
Las herramientas SCA rastrean las fuentes de la base de código de una aplicación y localizan nuevas entradas en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE). Pudiendo frustrar más a los equipos de desarrollo. Los esfuerzos manuales para monitorear la introducción de código abierto y bibliotecas luchan por mantener el ritmo de la rotación de código en un entorno DevOps o Agile, donde hay docenas de nuevas versiones cada día.
Las herramientas heredadas de AppSec provocan flujos de trabajo manuales y frecuentes falsos positivos, ralentizando los ciclos de desarrollo. Necesitamos un enfoque AppSec interno que utilice la instrumentación para integrar sensores de seguridad dentro del software, que detecte solo las vulnerabilidades que surjan en el tiempo de ejecución. Esto mejora drásticamente la precisión al priorizar las vulnerabilidades que pueden ser explotadas.
Las AppSec heredadas traen grandes retos para los equipos de desarrollo medidos por la cantidad de código escrito y la velocidad de los ciclos de lanzamiento. Para entender cómo se pueden afrontar estos retos, recomendamos descargar el libro electrónico "Poniendo fin a los obstáculos de seguridad". [nota_relacionada id=1122880]
POR PATRICK SPENCER
@PATRICKESPENCER
CONTACT@METABASEQ.COM
@METABASEQ
eadp