Die meisten Sicherheitstools verschwenden die Zeit von Entwickelnden. Wir haben es uns zur Aufgabe gemacht, dies zu ändern.
Anwendungsentwickelnde werden nicht dafür bezahlt, sich um Sicherheit zu kümmern. Ihre Leistung wird an der Geschwindigkeit gemessen, mit der sie durch neue Funktionen oder Verbesserungen einen Mehrwert für das Unternehmen schaffen können.
Dies macht traditionelle Sicherheitstools zu einem Hindernis, da sie nicht für Entwickelnde konzipiert sind – und zudem nicht darauf ausgelegt, hilfreich zu sein. Ihre Aufgabe ist es lediglich, eine riesige Liste von Sicherheitswarnungen anzuzeigen und es den Entwickelnden zu überlassen, den Rest herauszufinden.
Bei Aikido ist es unsere Mission, die Sicherung von Anwendungen so schnell und reibungslos wie möglich zu gestalten. Einer der wichtigsten Wege, dies zu erreichen, ist die Reduzierung von Störsignalen und Fehlalarmen, die die Zeit der Entwickler verschwenden und zu Verzögerungen bei der Bereitstellung von Sicherheitskorrekturen führen.
Dieser Beitrag zeigt Ihnen, wie Aikido Entwicklern Aikido , die unter dem Alert Fatigue Syndrome leiden.
Rauschunterdrückung
In seinem berühmten Lied „The Gambler“ hat Kenny Rogers es ziemlich gut auf den Punkt gebracht:
„Das Geheimnis des Überlebens ist zu wissen, was man wegwerfen und was man behalten muss.“
Den größten Einfluss auf das Signal-Rausch-Verhältnis haben Sie, indem Sie Entwickelnden nur die CVEs und Sicherheitswarnungen anzeigen, bei denen sie handeln sollten, und den Rest ignorieren.
So ignoriert Aikido irrelevante Sicherheitswarnungen und CVEs:
Abhängigkeiten nur für die Entwicklung
Standardmäßig Aikido keine Schwachstellen für Abhängigkeiten, die nur für die Installation in Entwicklungsumgebungen markiert Aikido , da diese in Staging- oder Produktionsumgebungen nicht vorhanden sein sollten.
Ungültige CVEs oder CVEs ohne Fix
Die Anzeige einer CVE ohne Korrektur ist nur eine Ablenkung. Daher verschiebt Aikido diese Aikido in eine Liste ignorierter Probleme, bis eine Korrektur verfügbar ist, bevor sie im Dashboard angezeigt werden.
Unerreichbarer Code
Die Code-Intelligenz- und Erreichbarkeits-Engine Aikido ignoriert eine CVE, wenn eine anfällige Funktion in der Codebasis nicht aufgerufen wird.
Dies reduziert das Rauschen, insbesondere bei großen Bibliotheken mit vielen Abhängigkeiten, wie TensorFlow.
Abgelaufene oder widerrufene Secrets
Aikido secrets als abgelaufen oder widerrufen verifiziert wurden oder als Variablen erscheinen. Aikido überprüft die Gültigkeit bekannter Geheimnistypen Aikido , indem es eine Anfrage an einen API-Endpunkt sendet, der eine Autorisierung erfordert, die keine sensiblen Daten erzeugt.
Manuelle Ignorierregeln
Sie können Aikido konfigurieren, Aikido Schwachstellen unter bestimmten Bedingungen ignoriert werden, z. B. Aikido Berichte für bestimmte Pfade in einem Repository ignoriert werden.
Deduplizierung
Da die meisten Unternehmen ihre Sicherheitsinfrastruktur aus verschiedenen Quellen zusammensetzen, ist es üblich, dass mehrere Systeme dieselbe Warnung oder CVE melden – zudem ist es üblich, dass traditionelle Tools dieselbe CVE mehrfach innerhalb eines einzigen Repositories melden. Was für ein Rauschen!
Da Aikido eine All-in-One-Plattform Aikido , die Ihnen eine zentrale Übersicht über alle Sicherheitsprobleme bietet, sehen Sie nur eine einzige CVE-Warnung für jedes Repository mit Unterproblemen, in denen der Ort jeder Schwachstelle aufgeführt ist.
Das Signal durch kontextuelles Sensitivitäts-Tuning verstärken
Ein in einem Repository, das sensible Daten verarbeitet, entdecktes Sicherheitsproblem sollte anders bewertet werden als ein nur intern genutztes Repository, das überhaupt keine Daten speichert.
Aikido verschiedene kontextbezogene Indikatoren für jedes Repository, wodurch mehr Sicherheitsrisiken aufgedeckt und die endgültige Schweregradbewertung eines Problems angemessen gewichtet werden können.
Durch Hinzufügen eines Domainnamens Aikido beispielsweise gezielte Scans auf Probleme wie SSL-Schwachstellen, fehlerhafte Cookie-Konfigurationen, die Anwendung eines CSP und Cross-Site-Scripting -Angriffen.
Zusätzliche kontextbezogene Beispiele umfassen, ob die Anwendung Internetzugang hat und in welchen Umgebungen die Anwendung bereitgestellt wird.
Das Signal für das Exploitationsrisiko verstärken
Aikido Echtzeitindikatoren, um die Wahrscheinlichkeit zu verfolgen, mit der eine CVE in der Praxis ausgenutzt wird, beispielsweise bestätigte Fälle von Ausnutzung, öffentlich zugänglicher Code, der die Vorgehensweise bei der Ausnutzung dokumentiert, sowie kundenspezifische Bedenken hinsichtlich der Cloud-Infrastruktur, die diese besonders anfällig machen könnten.
Da Aikido sowohl Ihren Code als auch Ihre Cloud-Infrastruktur Aikido , kann es die Schwere von „toxischen Kombinationen” erhöhen, die unter bestimmten Bedingungen beim Hosting Ihrer Anwendung auftreten können. Beispielsweise sind AWS-Instanzen, die die IMDS-API-Version 1 verwenden, anfälliger für SSRF-Exploits, durch die AWS-Anmeldedaten offengelegt werden können.
Zusammenfassung
Herkömmliche Sicherheitstools kümmern sich nicht um die Produktivität von Entwickelnden. Sie sind mehr als glücklich, ein Repository unter einem Berg von False Positives zu begraben, wodurch die Zeit von Entwickelnden verschwendet wird, die besser für die tatsächliche Behebung von Sicherheitsproblemen hätte genutzt werden können.
Was Aikido , ist, dass wir den Zusammenhang zwischen Entwicklerproduktivität und Sicherheit erkennen. Durch das Entfernen irrelevanter Warnmeldungen und CVEs erhalten echte Bedrohungen mehr Aufmerksamkeit, sodass Korrekturen schneller umgesetzt werden können.
Diese Win-Win-Situation für Entwickelnde und Sicherheit ist unser Kernanliegen und so beheben wir das Security Alert Fatigue Syndrome für unsere Kunden.
Möchten Sie es in Aktion sehen? Registrieren Sie sich, um Ihre ersten Repos zu scannen und Ihre ersten Ergebnisse in weniger als 2 Minuten zu erhalten.
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
