Новые функции Endor помогают облегчить бремя управления уязвимостями в программном обеспечении с открытым исходным кодом.
Endor Labs, лидер в области безопасности цепочки поставок программного обеспечения, объявила о запуске двух новых инновационных возможностей: “Анализ влияния обновлений” и “Исправления Endor Magic” на Black Hat в Лас-Вегасе. Эти две функции направлены на оптимизацию процесса обновления версий программного обеспечения и устранение уязвимостей в системе безопасности в зависимости от программного обеспечения с открытым исходным кодом (OSS).
Нам часто приходится обновлять версии программного обеспечения для устранения критических уязвимостей в операционных системах. Однако такие обновления могут быть сложными и привести к поломке существующих приложений. Страх перед этим и сложность определения того, какое влияние окажет исправление на программы, могут удержать администраторов от внедрения необходимых обновлений. Это ошибка.
Эндор цитирует директора по операциям AppSec крупной финтех-компании, объясняющего: “Разработчики опасаются обновлений из-за критических изменений. Представьте, если бы продукт мог эмулировать обновление, чтобы показать, какое обновление может повлиять на какие пакеты. Располагая этой информацией, я мог бы расставить приоритеты исправлений в зависимости от того, насколько сложным будет обновление и сколько других пакетов будет затронуто. ”
В ответ Endor Labs выпустила свою новую функцию анализа влияния обновления. Этот инструмент предоставляет подробную информацию о потенциальных трудностях и последствиях данного обновления, позволяя командам AppSec проводить информированные обсуждения с командами инженеров относительно объема исправлений безопасности и устанавливать соглашения об уровне обслуживания (SLA). Если обновление считается слишком дорогостоящим или сложным, команды могут решить устранить уязвимость с помощью резервного исправления безопасности, поддерживаемого Endor Labs.
Эта функция расширяет механизм анализа программ Endor Labs для выявления непреднамеренных последствий, таких как критические изменения в приложении. Команды AppSec теперь могут управлять рисками в контексте сложности обновления, повышая отдачу от инвестиций в усилия по исправлению, сокращая количество ручных исследований разработчиков и позволяя ИТ-командам быстрее устранять риски. Короче говоря, это уменьшает проблемы.
Кроме того, исправления Endor Magic позволяют переносить исправления безопасности обратно в уязвимую версию программного обеспечения, устраняя необходимость в сложных обновлениях. Эти исправления включают исходный код, тесты, этапы сборки и развертывания, обеспечивая воспроизводимость и безопасность. Эта возможность позволяет командам AppSec быстро реагировать на возникающие угрозы, сбалансировать рабочие нагрузки разработчиков и поддерживать соответствие FedRAMP.
Марсело Оливейра (Marcelo Oliveira), вице-президент по управлению продуктами Endor Labs, подчеркнул важность этих новых инструментов: “Одной из лучших характеристик операционных систем является степень постоянного улучшения — практически каждый пакет обновляется регулярно. Однако преимущества часто перевешиваются опасностями. Благодаря этим новым возможностям команды могут устранить это препятствие, резко сократив объем работы, необходимой для понимания влияния обновлений зависимостей, и оставаться в безопасности, когда риск обновлений слишком высок. Нашей миссией всегда было сделать безопасность менее обременительной для инженеров-программистов, и с этим запуском мы продолжаем помогать командам безопасности становиться лучшими партнерами ”.
Мы бы не стали заходить так далеко. Достоинства почти всегда перевешивают опасности. Тем не менее, нет никаких сомнений в том, что обновление кода всегда сопряжено с некоторой долей угрозы. Итак, подобные инструменты, безусловно, имеют место для любой команды DevOpsSec.