La accesibilidad de la vulnerabilidad automatizada de Phylum fortalece la seguridad de la cadena de suministro de software
3 min readFilo agregó Accesibilidad de Vulnerabilidad Automatizada a las capacidades de su plataforma de seguridad de la cadena de suministro de software.
Con la capacidad de concentrarse solo en resolver lo que importa, los profesionales de la seguridad pueden terminar con la avalancha de falsos positivos y los desarrolladores pueden innovar con mayor velocidad y confianza.
Esta nueva introducción, combinada con la capacidad de Phylum para bloquear y priorizar los riesgos del código fuente abierto, brinda a las organizaciones seguridad completa en la cadena de suministro de software.
Las vulnerabilidades representan un peligro claro y presente para la integridad de la cadena de suministro de software, pero la gran cantidad de ruido y falsos positivos que acompañan a los métodos de detección tradicionales agotan los recursos y dejan a las organizaciones abrumadas.
“La gestión de vulnerabilidades ha sido un desafío persistente y frustrante para los equipos de seguridad durante más de una década. Phylum ha automatizado la respuesta a la pregunta “¿Realmente estoy llamando al código que desencadena esta vulnerabilidad?” “Responder a esta pregunta reduce los problemas de vulnerabilidad de falsos positivos de los clientes en un 90 % o más y permite que los equipos de seguridad involucren a sus equipos de desarrollo en los problemas de la cadena de suministro que realmente importan”, dijo pedro morganco-fundador y presidente de Phylum.
La mayoría de los enfoques de gestión de vulnerabilidades ignoran los matices de las bibliotecas de código abierto. En el código de la biblioteca, las partes de la biblioteca utilizadas son tan importantes como el nombre y la versión del paquete, e ignorar estos datos conduce a una alta tasa de falsos positivos.
Por ejemplo, una organización puede usar un paquete para firmar paquetes de compilación que contengan una vulnerabilidad Heartbleed conocida. Pero dado que la organización solo lo usa para la firma de código y no usa la parte de OpenSSL donde existe esta vulnerabilidad, no se puede acceder. La Plataforma Phylum reconoce este matiz e informa al usuario en consecuencia.
Las organizaciones que utilizan Phylum ahorran a los desarrolladores un tiempo valioso, aplican parches de manera más crítica y mejoran la seguridad general al aprovechar:
- Análisis de origen en profundidad y rastreo de llamadas que identifica qué vulnerabilidades afectan a los proyectos y cuáles no.
- Análisis basado en gráficos que identifica rutas de llamadas de paquetes cruzados para priorizar los errores más impactantes que deben corregirse.
- Cumplimiento de políticas automatizado y continuo que proporciona alertas si las características de la vulnerabilidad cambian debido a nuevas necesidades de desarrollo.
Dado que los proyectos de software son 70-90 % de código fuente abierto, Phylum primero bloquea los ataques de la cadena de suministro de software que intentan ingresar a los entornos desde paquetes de código abierto. Esto alivia la carga de tener que hacer correcciones importantes después de crear el código fuente.
El alcance automatizado de vulnerabilidades luego monitorea continuamente el código en caso de que los cambios en el desarrollo, el paquete o el autor conduzcan a nuevas vulnerabilidades.
La plataforma de seguridad de la cadena de suministro de software de Phylum está diseñada específicamente para abordar los desafíos de seguridad de la cadena de suministro de software persistentes y en evolución. Independientemente de la etapa de madurez de un programa appsec, Phylum está diseñado para satisfacer las necesidades inmediatas y crecer con una organización para satisfacer las necesidades futuras.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.