Die meisten Sicherheitstools verschwenden die Zeit der Entwickler. Wir sind auf einer Mission, dies zu ändern.
Anwendungsentwickler werden nicht dafür bezahlt, sich um die Sicherheit zu kümmern. Ihre Leistung wird an der Geschwindigkeit gemessen, mit der sie dem Unternehmen durch neue Funktionen oder Erweiterungen einen Mehrwert bieten können.
Dies macht herkömmliche Sicherheitstools zu einem Hindernis, da sie nicht für Entwickler konzipiert sind - und sie sind auch nicht darauf ausgelegt, hilfreich zu sein. Ihre Aufgabe besteht einfach darin, eine umfangreiche Liste von Sicherheitswarnungen anzuzeigen und es dem Entwickler zu überlassen, den Rest herauszufinden.
Wir bei Aikido haben es uns zur Aufgabe gemacht, die Sicherung von Anwendungen so schnell und problemlos wie möglich zu gestalten. Eine der wichtigsten Maßnahmen, um dies zu erreichen, ist die Reduzierung von Störsignalen und Fehlalarmen, die die Zeit der Entwickler verschwenden und zu Verzögerungen bei der Bereitstellung von Sicherheitslösungen führen.
Dieser Beitrag wird Ihnen zeigen, was Aikido tut, um ein Heilmittel für Entwickler, die unter dem Alert Fatigue Syndrom leiden, anzubieten.
Verringerung des Lärms
Kenny Rogers hat das in seinem berühmten Lied "The Gambler" sehr gut eingefangen:
"Das Geheimnis des Überlebens ist, zu wissen, was man wegwerfen und was man behalten sollte."
Der größte Einfluss, den Sie auf das Signal-Rausch-Verhältnis haben können, ist, dass Sie den Entwicklern nur die CVEs und Sicherheitswarnungen anzeigen, auf die sie reagieren sollten, und den Rest ignorieren.
Hier erfahren Sie, wie Aikido irrelevante Sicherheitswarnungen und CVEs auf intelligente Weise ignoriert:
Entwicklungsspezifische Abhängigkeiten
Standardmäßig meldet Aikido keine Schwachstellen für Abhängigkeiten, die nur für die Installation in Entwicklungsumgebungen gekennzeichnet sind, da sie in Staging- oder Produktionsumgebungen nicht vorhanden sein sollten.
Ungültige CVEs oder CVEs ohne Fix
Die Anzeige eines CVE ohne Korrektur ist nur eine Ablenkung. Daher verschiebt Aikido diese vorübergehend in eine Liste ignorierter Probleme, bis ein Fix verfügbar ist, bevor sie im Dashboard angezeigt werden.
Unerreichbarer Code
Die Code-Intelligenz und die Erreichbarkeits-Engine von Aikido ignorieren ein CVE, wenn eine verwundbare Funktion nicht in der Codebasis aufgerufen wird.
Dies verringert das Rauschen, besonders bei großen Bibliotheken mit vielen Abhängigkeiten, wie z.B. TensorFlow.
Abgelaufene oder widerrufene Geheimnisse
Aikido ignoriert Geheimnisse, die als abgelaufen oder widerrufen verifiziert wurden oder als Variablen erscheinen. Aikido überprüft sicher die Gültigkeit bekannter Geheimnistypen, indem es eine Anfrage an einen API-Endpunkt sendet, der eine Autorisierung erfordert und keine sensiblen Daten erzeugt.
Manuelle Ignorierregeln
Sie können Aikido so konfigurieren, dass Schwachstellen unter bestimmten Bedingungen ignoriert werden, z.B. die Meldung für bestimmte Pfade in einem Repository ignorieren.
Deduplizierung
Da die meisten Unternehmen ihre Sicherheitsinfrastruktur aus verschiedenen Quellen zusammenstellen, ist es üblich, dass mehrere Systeme dieselbe Warnung oder CVE anzeigen - außerdem ist es üblich, dass herkömmliche Tools dieselbe CVE mehrfach in einem einzigen Repository anzeigen. Wir sprechen von Rauschen!
Da es sich bei Aikido um eine All-in-One-Plattform handelt, die Ihnen ein einziges Fenster für alle Sicherheitsprobleme bietet, sehen Sie nur eine einzige CVE-Meldung für jedes Repository mit Unterproblemen, die den Ort jeder Schwachstelle auflisten.
Verstärkung des Signals mit kontextbezogener Empfindlichkeitsabstimmung
Ein Sicherheitsproblem, das in einem Repository entdeckt wird, das sensible Daten verarbeitet, sollte anders bewertet werden als ein rein internes Repository, das keine Daten aufbewahrt.
Aikido liefert verschiedene Kontextindikatoren für jedes Repository, die dabei helfen, mehr Sicherheitsrisiken aufzudecken und den endgültigen Schweregrad eines Problems angemessen zu gewichten.
Durch Hinzufügen eines Domänennamens kann Aikido zum Beispiel gezielte Scans auf Probleme wie SSL-Schwachstellen, Cookie-Fehlkonfigurationen, die Anwendung eines CSP und Cross-Site-Scripting (XSS )-Angriffe durchführen.
Weitere kontextbezogene Beispiele sind, ob die Anwendung über einen Internetzugang verfügt und in welchen Umgebungen die Anwendung eingesetzt wird.
Verstärkung des Signals für das Ausbeutungsrisiko
Aikido verwendet Echtzeit-Indikatoren, um die Wahrscheinlichkeit zu verfolgen, dass ein CVE in freier Wildbahn ausgenutzt wird, wie z.B. bestätigte Fälle von Ausnutzung, öffentlicher Code, der dokumentiert, wie der Exploit ausgeführt wird, und kundenspezifische Cloud-Infrastrukturprobleme, die sie besonders anfällig machen könnten.
Und da Aikido sowohl Ihren Code als auch Ihre Cloud-Infrastruktur überwacht, kann es den Schweregrad von "toxischen Kombinationsproblemen" erhöhen, die sich aus bestimmten Bedingungen ergeben, unter denen Ihre Anwendung gehostet wird, z. B. sind AWS-Instanzen, die IMDS API Version 1 verwenden, anfälliger für SSRF-Exploits, die AWS-Credentials offenlegen können.
Zusammenfassung
Herkömmliche Sicherheitstools kümmern sich nicht um die Produktivität der Entwickler. Sie begraben ein Repository gerne unter einem Haufen von Fehlalarmen und verschwenden damit Zeit, die die Entwickler besser für die Lösung von Sicherheitsproblemen hätten verwenden können.
Das Besondere an Aikido ist, dass wir die Verbindung zwischen Entwicklerproduktivität und Sicherheit sehen. Durch die Beseitigung irrelevanter Warnungen und CVEs erhalten echte Bedrohungen mehr Aufmerksamkeit, und infolgedessen werden Korrekturen schneller umgesetzt.
Diese Win-Win-Situation für Entwickler und Sicherheit ist unser Ziel und hilft unseren Kunden, das Security Alert Fatigue Syndrom zu überwinden.
Möchten Sie es in Aktion sehen? Melden Sie sich an, um Ihre ersten Repos zu scannen und erhalten Sie Ihre ersten Ergebnisse in weniger als 2 Minuten.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)