Die meisten Sicherheitstools verschwenden die Zeit von Entwickelnden. Wir haben es uns zur Aufgabe gemacht, dies zu ändern.
Anwendungsentwickelnde werden nicht dafür bezahlt, sich um Sicherheit zu kümmern. Ihre Leistung wird an der Geschwindigkeit gemessen, mit der sie durch neue Funktionen oder Verbesserungen einen Mehrwert für das Unternehmen schaffen können.
Dies macht traditionelle Sicherheitstools zu einem Hindernis, da sie nicht für Entwickelnde konzipiert sind – und zudem nicht darauf ausgelegt, hilfreich zu sein. Ihre Aufgabe ist es lediglich, eine riesige Liste von Sicherheitswarnungen anzuzeigen und es den Entwickelnden zu überlassen, den Rest herauszufinden.
Bei Aikido ist es unsere Mission, die Absicherung von Anwendungen so schnell und reibungslos wie möglich zu gestalten. Eine der wichtigsten Methoden hierfür ist die Reduzierung von Rauschen und Fehlalarmen, die die Zeit der Entwickelnden verschwenden und zu Verzögerungen bei der Auslieferung von Sicherheits-Fixes führen.
Dieser Beitrag zeigt Ihnen, was Aikido unternimmt, um Entwickelnden, die unter dem Alert Fatigue Syndrome leiden, Abhilfe zu schaffen.
Rauschunterdrückung
In seinem berühmten Lied „The Gambler“ hat Kenny Rogers es ziemlich gut auf den Punkt gebracht:
„Das Geheimnis des Überlebens ist zu wissen, was man wegwerfen und was man behalten muss.“
Den größten Einfluss auf das Signal-Rausch-Verhältnis haben Sie, indem Sie Entwickelnden nur die CVEs und Sicherheitswarnungen anzeigen, bei denen sie handeln sollten, und den Rest ignorieren.
So ignoriert Aikido irrelevanten Sicherheitswarnungen und CVEs intelligent:
Abhängigkeiten nur für die Entwicklung
Standardmäßig meldet Aikido keine Schwachstellen für Abhängigkeiten, die nur für die Installation in Entwicklungsumgebungen vorgesehen sind, da diese nicht in Staging- oder Produktionsumgebungen vorhanden sein sollten.
Ungültige CVEs oder CVEs ohne Fix
Eine CVE ohne Fix anzuzeigen, ist lediglich eine Ablenkung. Daher verschiebt Aikido diese vorübergehend auf eine Liste ignorierter Probleme, bis ein Fix verfügbar ist und sie im Dashboard angezeigt werden.
Unerreichbarer Code
Die Code-Intelligenz und die Erreichbarkeits-Engine von Aikido ignorieren eine CVE, wenn eine anfällige Funktion in der Codebasis nicht aufgerufen wird.
Dies reduziert das Rauschen, insbesondere bei großen Bibliotheken mit vielen Abhängigkeiten, wie TensorFlow.
Abgelaufene oder widerrufene Secrets
Aikido ignoriert Secrets, die als abgelaufen oder widerrufen verifiziert wurden oder Variablen zu sein scheinen. Aikido überprüft sicher die Gültigkeit bekannter Secret-Typen, indem es eine Anfrage an einen API-Endpunkt sendet, der eine Autorisierung erfordert und keine sensiblen Daten erzeugt.
Manuelle Ignorierregeln
Sie können Aikido so konfigurieren, dass es Schwachstellen unter bestimmten Bedingungen ignoriert, z. B. die Meldung für bestimmte Pfade in einem Repository.
Deduplizierung
Da die meisten Unternehmen ihre Sicherheitsinfrastruktur aus verschiedenen Quellen zusammensetzen, ist es üblich, dass mehrere Systeme dieselbe Warnung oder CVE melden – zudem ist es üblich, dass traditionelle Tools dieselbe CVE mehrfach innerhalb eines einzigen Repositories melden. Was für ein Rauschen!
Da Aikido eine All-in-One-Plattform ist, die Ihnen eine zentrale Übersicht über alle Sicherheitsprobleme bietet, sehen Sie pro Repository nur eine einzige CVE-Warnung mit Unterproblemen, die den Speicherort jeder Schwachstelle auflisten.
Das Signal durch kontextuelles Sensitivitäts-Tuning verstärken
Ein in einem Repository, das sensible Daten verarbeitet, entdecktes Sicherheitsproblem sollte anders bewertet werden als ein nur intern genutztes Repository, das überhaupt keine Daten speichert.
Aikido bietet verschiedene kontextbezogene Indikatoren für jedes Repository, die dabei helfen, weitere Sicherheitsrisiken aufzudecken und die endgültige Schwerebewertung eines Problems angemessen zu gewichten.
Zum Beispiel kann Aikido durch Hinzufügen eines Domainnamens gezielte Scans für Probleme wie SSL-Schwachstellen, Cookie-Fehlkonfigurationen, die Anwendung eines CSP und Cross-Site-Scripting-Angriffe durchführen.
Zusätzliche kontextbezogene Beispiele umfassen, ob die Anwendung Internetzugang hat und in welchen Umgebungen die Anwendung bereitgestellt wird.
Das Signal für das Exploitationsrisiko verstärken
Aikido verwendet Echtzeitindikatoren, um die Wahrscheinlichkeit zu verfolgen, dass eine CVE in freier Wildbahn ausgenutzt wird, wie z. B. bestätigte Fälle von Exploits, öffentlichen Code, der die Durchführung des Exploits dokumentiert, und kundenspezifische Cloud-Infrastruktur-Bedenken, die sie besonders anfällig machen könnten.
Und da Aikido sowohl Ihren Code als auch Ihre Cloud-Infrastruktur überwacht, kann es die Schwere von Problemen mit „toxischen Kombinationen“ erhöhen, die sich aus spezifischen Bedingungen ergeben, unter denen Ihre Anwendung gehostet wird, z. B. sind AWS-Instanzen, die IMDS API Version 1 verwenden, anfälliger für SSRF-Exploits, die AWS Credentials offenlegen können.
Zusammenfassung
Herkömmliche Sicherheitstools kümmern sich nicht um die Produktivität von Entwickelnden. Sie sind mehr als glücklich, ein Repository unter einem Berg von False Positives zu begraben, wodurch die Zeit von Entwickelnden verschwendet wird, die besser für die tatsächliche Behebung von Sicherheitsproblemen hätte genutzt werden können.
Was Aikido unterscheidet, ist, dass wir den Zusammenhang zwischen der Produktivität der Entwickelnden und der Sicherheit erkennen. Durch das Entfernen irrelevanter Warnungen und CVEs erhalten echte Bedrohungen mehr Aufmerksamkeit, und infolgedessen werden Fixes schneller angewendet.
Diese Win-Win-Situation für Entwickelnde und Sicherheit ist unser Kernanliegen und so beheben wir das Security Alert Fatigue Syndrome für unsere Kunden.
Möchten Sie es in Aktion sehen? Registrieren Sie sich, um Ihre ersten Repos zu scannen und Ihre ersten Ergebnisse in weniger als 2 Minuten zu erhalten.
