La plupart des outils de sécurité font perdre du temps aux développeurs. Nous avons pour mission de remédier à cela.
Les développeurs d'applications ne sont pas rémunérés pour se soucier de la sécurité. Leur performance est mesurée par la vitesse à laquelle ils peuvent apporter de la valeur à l'entreprise via de nouvelles fonctionnalités ou améliorations.
Cela fait des outils de sécurité traditionnels un obstacle, car ils ne sont pas conçus pour les développeurs — de plus, ils ne sont pas pensés pour être utiles. Leur travail consiste simplement à afficher une liste massive d'alertes de sécurité, laissant au développeur le soin de comprendre le reste.
Chez Aikido, notre mission est de rendre la sécurisation des applications aussi rapide et indolore que possible. L'un des moyens les plus importants d'y parvenir est de réduire le bruit et les faux positifs qui font perdre du temps aux développeurs et entraînent des retards dans le déploiement des correctifs de sécurité.
Cet article vous montrera ce qu'Aikido fait pour offrir un remède aux développeurs souffrant du syndrome de fatigue des alertes.
Réduire le bruit
Dans sa célèbre chanson, « The Gambler », Kenny Rogers l'a plutôt bien résumé :
« le secret pour survivre, C'est de savoir quoi jeter et de savoir quoi garder. »
L'impact le plus significatif que vous pouvez avoir sur le rapport signal/bruit est de ne montrer aux développeurs que les CVEs et les alertes de sécurité sur lesquelles ils doivent agir, et d'ignorer le reste.
Voici comment Aikido ignore intelligemment les alertes de sécurité et les CVEs non pertinentes :
Dépendances de développement uniquement
Par défaut, Aikido ne signalera pas les vulnérabilités pour les dépendances marquées uniquement pour l'installation dans les environnements de développement, car elles ne devraient pas être présentes dans les environnements de staging ou de production.
CVEs invalides ou CVEs sans correctif
Afficher une CVE sans correctif n'est qu'une distraction. Par conséquent, Aikido les déplace temporairement vers une liste de problèmes ignorés jusqu'à ce qu'un correctif soit disponible avant de les afficher dans le tableau de bord.
Code inaccessible
L'intelligence de code d'Aikido et son moteur d'analyse d’accessibilité ignoreront une CVE si une fonction vulnérable n'est pas appelée dans la base de code.
Cela réduit le bruit, en particulier pour les grandes bibliothèques avec de nombreuses dépendances, telles que TensorFlow.
Secrets expirés ou révoqués
Aikido ignorera les secrets qui ont été vérifiés comme expirés ou révoqués, ou qui semblent être des variables. Aikido vérifie en toute sécurité la validité des types de secrets connus en envoyant une requête à un endpoint d'API nécessitant une autorisation et ne produisant pas de données sensibles.
Règles d'exclusion manuelles
Vous pouvez configurer Aikido pour ignorer les vulnérabilités sous certaines conditions, par exemple ignorer le signalement pour des chemins spécifiques dans un dépôt.
Déduplication
Parce que la plupart des entreprises assemblent leur infrastructure de sécurité à partir de plusieurs sources différentes, il est courant que plusieurs systèmes fassent remonter la même alerte ou CVE – de plus, il est fréquent que les outils traditionnels signalent la même CVE plusieurs fois au sein d'un même dépôt. Un vrai déluge d'informations !
Parce qu'Aikido est une plateforme tout-en-un vous offrant une vue unifiée de tous les problèmes de sécurité, vous ne verrez qu'une seule alerte CVE pour chaque dépôt, avec des sous-problèmes listant l'emplacement de chaque vulnérabilité.
Amplifier le signal grâce à l'ajustement de la sensibilité contextuelle
Un problème de sécurité découvert dans un dépôt gérant des données sensibles devrait être évalué différemment d'un dépôt interne qui ne persiste aucune donnée.
Aikido fournit divers indicateurs contextuels pour chaque dépôt, aidant à découvrir davantage de risques de sécurité et à pondérer de manière appropriée le score de gravité final d'un problème.
Par exemple, en ajoutant un nom de domaine, Aikido peut effectuer des analyses ciblées pour des problèmes tels que les vulnérabilités SSL, les mauvaises configurations de cookies, si un CSP a été appliqué, et les attaques de cross-site scripting.
Des exemples contextuels supplémentaires incluent la question de savoir si l'application a un accès à internet et dans quels environnements elle est déployée.
Amplifier le signal pour le risque d'exploitation
Aikido utilise des indicateurs en temps réel pour suivre la probabilité qu'une CVE soit exploitée dans la nature, tels que les cas confirmés d'exploitation, le code public documentant comment réaliser l'exploit, et toute préoccupation spécifique à la clientèle concernant l'infrastructure cloud qui pourrait les rendre particulièrement vulnérables.
Et parce qu'Aikido surveille à la fois votre code et votre infrastructure cloud, il peut augmenter la gravité des problèmes de « combinaison toxique » découlant de conditions spécifiques dans lesquelles votre application est hébergée, par exemple, les instances AWS utilisant l'API IMDS version 1 sont plus vulnérables aux exploits SSRF qui peuvent exposer les identifiants AWS.
Résumé
Les outils de sécurité traditionnels ne se soucient pas de la productivité des développeurs. Ils sont plus qu'heureux d'ensevelir un dépôt sous une pile de faux positifs, gaspillant le temps des développeurs qui aurait pu être mieux utilisé pour résoudre réellement les problèmes de sécurité.
Ce qui rend Aikido différent, c'est que nous voyons le lien entre la productivité des développeurs et la sécurité. En supprimant les alertes et les CVEs non pertinentes, les menaces réelles reçoivent plus d'attention, et par conséquent, les correctifs sont appliqués plus rapidement.
Ce scénario gagnant-gagnant pour les développeurs et la sécurité est notre raison d'être et c'est ainsi que nous soignons le syndrome de fatigue d'alertes de sécurité pour nos clients.
Vous voulez le voir en action ? Inscrivez-vous pour scanner vos premiers dépôts et obtenir vos premiers résultats en moins de 2 minutes.
Sécurisez votre logiciel dès maintenant.
.jpg)
