La plupart des outils de sécurité font perdre du temps aux développeurs. Nous avons pour mission d'y remédier.
Les développeurs d'applications ne sont pas payés pour se préoccuper de la sécurité. Leur performance est mesurée par la vitesse à laquelle ils peuvent ajouter de la valeur à l'entreprise grâce à de nouvelles fonctionnalités ou à des améliorations.
Les outils de sécurité traditionnels sont donc un obstacle, car ils ne sont pas conçus pour les développeurs - et ils ne sont pas non plus conçus pour être utiles. Leur tâche consiste simplement à afficher une liste massive d'alertes de sécurité, laissant au développeur le soin de comprendre le reste.
Chez Aikido, notre mission est de rendre la sécurisation des applications aussi rapide et indolore que possible, et l'une des façons les plus importantes d'y parvenir est de réduire le bruit et les faux positifs qui font perdre du temps aux développeurs et entraînent des retards dans la livraison des correctifs de sécurité.
Ce billet vous montrera ce que fait l'Aïkido pour offrir un remède aux développeurs souffrant du Syndrome d'Alerte Fatigue.
Réduire le bruit
Dans sa célèbre chanson "The Gambler", Kenny Rogers l'a très bien décrite :
"Le secret de la survie, c'est de savoir ce qu'il faut jeter et ce qu'il faut garder."
L'impact le plus important que vous puissiez avoir sur le rapport signal/bruit est de ne montrer aux développeurs que les CVE et les alertes de sécurité sur lesquelles ils doivent agir et d'ignorer le reste.
Voici comment Aikido ignore intelligemment les alertes de sécurité et les CVE non pertinents :
Dépendances réservées au développement
Par défaut, Aikido ne signale pas les vulnérabilités des dépendances marquées uniquement pour l'installation dans les environnements de développement, car elles ne devraient pas être présentes dans les environnements de production ou de stockage.
CVE invalides ou sans correctif
Afficher un CVE sans correctif n'est qu'une distraction. C'est pourquoi Aikido les place temporairement sur une liste de problèmes ignorés jusqu'à ce qu'un correctif soit disponible avant de les afficher dans le tableau de bord.
Code inaccessible
Le moteur d' intelligence du code et d'accessibilité d' Aikido ignorera une CVE si la fonction vulnérable n'est pas appelée dans la base de code.
Cela réduit le bruit, en particulier pour les grandes bibliothèques avec de nombreuses dépendances, telles que TensorFlow.
Secrets expirés ou révoqués
Aikido ignore les secrets qui ont été vérifiés comme étant expirés ou révoqués, ou qui semblent être des variables. Aikido vérifie en toute sécurité la validité des types de secrets connus en envoyant une requête à un point de terminaison de l'API nécessitant une autorisation et ne produisant pas de données sensibles.
Règles d'ignorance manuelle
Vous pouvez configurer Aikido pour qu'il ignore les vulnérabilités sous certaines conditions, par exemple pour qu'il ignore les rapports concernant des chemins spécifiques dans un référentiel.
Déduplication
Comme la plupart des entreprises assemblent leur infrastructure de sécurité à partir de plusieurs sources différentes, il est courant que plusieurs systèmes fassent apparaître la même alerte ou le même CVE - de plus, il est courant que les outils traditionnels fassent apparaître le même CVE plusieurs fois au sein d'un même référentiel. C'est ce qu'on appelle du bruit !
Parce qu'Aikido est une plateforme tout-en-un qui vous offre une vue d'ensemble de tous les problèmes de sécurité, vous ne verrez qu'une seule alerte CVE pour chaque dépôt, avec des sous-questions indiquant l'emplacement de chaque vulnérabilité.
Renforcer le signal grâce à l'ajustement de la sensibilité contextuelle
Un problème de sécurité découvert dans un référentiel traitant des données sensibles doit être évalué différemment d'un référentiel interne qui ne conserve aucune donnée.
Aikido fournit divers indicateurs contextuels pour chaque référentiel, ce qui permet de découvrir davantage de risques de sécurité et de pondérer de manière appropriée le score de gravité final d'un problème.
Par exemple, en ajoutant un nom de domaine, Aikido peut effectuer des analyses ciblées pour des problèmes tels que les vulnérabilités SSL, les mauvaises configurations de cookies, si un CSP a été appliqué, et les attaques de type cross-site scripting (XSS).
D'autres exemples contextuels incluent l'accès à l'internet et les environnements dans lesquels l'application est déployée.
Renforcer le signal de risque d'exploitation
Aikido utilise des indicateurs en temps réel pour suivre la probabilité qu'un CVE soit exploité dans la nature, tels que les cas confirmés d'exploitation, le code public documentant la manière de réaliser l'exploit, et tout problème d'infrastructure cloud spécifique au client qui pourrait le rendre particulièrement vulnérable.
Et parce qu'Aikido surveille à la fois votre code et votre infrastructure cloud, il peut augmenter la gravité des problèmes de "combinaison toxique" découlant des conditions spécifiques dans lesquelles votre application est hébergée, par exemple les instances AWS utilisant l'API IMDS version 1 sont plus vulnérables aux exploits SSRF qui peuvent exposer les informations d'identification AWS.
Résumé
Les outils de sécurité traditionnels ne se soucient pas de la productivité des développeurs. Ils sont plus qu'heureux d'enterrer un référentiel sous une pile de faux positifs, faisant perdre aux développeurs un temps qu'ils auraient pu consacrer à la résolution des problèmes de sécurité.
Ce qui différencie Aikido, c'est que nous voyons le lien entre la productivité des développeurs et la sécurité. En supprimant les alertes et les CVE non pertinentes, les menaces réelles reçoivent plus d'attention et, par conséquent, les correctifs sont appliqués plus rapidement.
Cette situation gagnant-gagnant pour les développeurs et la sécurité est notre raison d'être et c'est ainsi que nous guérissons le syndrome de fatigue des alertes de sécurité pour nos clients.
Vous voulez le voir à l'œuvre ? Inscrivez-vous pour scanner vos premiers dépôts et obtenez vos premiers résultats en moins de 2 minutes.
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
