OX Security оновила свою платформу керування безпекою застосунків (ASPM), щоб команда DevSecOps могла миттєво визначати програми, що працюють у робочих середовищах і код яких потенційно може бути використаний. Про це повідомляє DevOps.com.
Платформа ASPM від OX Security використовує великі мовні моделі (LLM) для виявлення вразливостей. В останній версії додано можливість обмежити кількість згенерованих сповіщень до екземплярів коду, які фактично можуть бути використані.
Генеральний директор OX Security Нітсан Зів сказав, що цей підхід зменшує кількість сповіщень, які в іншому випадку були б згенеровані, на 99%. Це дозволить командам DevSecOps зосередити свої обмежені ресурси на 1% сповіщень, які становлять реальний ризик для бізнесу.
OX Security досягає цієї мети частково завдяки тому, що його сканери інтегровані з платформами керування джерелами, CI/CD, реєстрами та середовищами хмарних обчислень.
Загальною метою є зменшення кількості ручних зусиль, які наразі необхідні для постійного підтримання найкращих практик DevSecOps.
Основна причина, чому багато вразливостей ніколи не усуваються, полягає в тому, що команди DevSecOps просто переповнені попередженнями.
Більшість сповіщень, створених командою з кібербезпеки, не є актуальними, оскільки або вразливість відсутня у програмі, що працює у робочому середовищі, або програма не підключається до Інтернету.
Платформа OX Security дає змогу визначати проблеми безпеки застосунків, які потребують пріоритетності, оскільки має підтвердження існування вразливості, якою можна скористатися.
Дуже багато розробників регулярно ігнорують вразливості, виявлені командами з кібербезпеки, просто тому, що попередні спроби визначити фактичну серйозність, яку вони представляють, зрештою виявилися марною тратою часу.
Проблема, з якою стикається майже будь-яка організація, намагаючись краще захистити свої ланцюжки постачання програмного забезпечення, полягає в тому, щоб змусити розробників взяти участь у процесі DevSecOps.
Більшість розробників збираються активно чинити опір будь-якому підходу до усунення вразливостей, який забирає час на створення нових програм. Багато з них приділяють лише близько 10% свого часу або навіть менше усуненню вразливостей. Таким чином, команда DevSecOps зобов’язана знайти способи вирішення проблем із безпекою застосунків, щоб не вплинути негативно на продуктивність розробника.
Організації можуть вимагати усунення вразливостей. Насправді існує все більше правил, які вимагатимуть від організацій робити саме це, якщо вони не зможуть довести, що вразливість, про яку йдеться, не може бути використана. Єдиний спосіб ефективно підтвердити це – більше покладатися на автоматизацію, щоб задокументувати, що код, який виконується у виробничому середовищі, дійсно безпечний.
Читайте також на ProIT, кому вдалося розпочати ІТ-карʼєру у 2023 році. Аналітика Mate academy по junior-айтівцях.
Також ми розповідали, яким був 2023 рік для DevOps: огляд стану ринку.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
