WhiteSource – analiza faktycznego zagrożenia

Aktualna i kompletna lista ostrzeżeń o potencjalnych zagrożeniach to dopiero początek drogi do zapewnienia bezpieczeństwa na najwyższym poziomie. Kolejnym krokiem jest określenie istotności poszczególnych alertów.

To właśnie dlatego WhiteSource stworzył Analizę Faktycznego Zagrożenia – technologię, która ustala priorytety niebezpieczeństw w oparciu o ich wpływ na produkt i pomaga zespołom skoncentrować się na tym co jest najistotniejsze dla firmy.

Analiza Faktycznego Zagrożenia ułatwia także łatanie potencjalnie niebezpiecznych punktów w komponentach open-source poprzez zapewnienie pełnej analizy całego kodu.

Dzięki Analizie Faktycznego Zagrożenia zespoły programistów i inżynierowie bezpieczeństwa, pracujący na co dzień z zarządzaniem zagrożeniami źródeł open-source, mogą teraz polegać na automatycznej klasyfikacji zagrożeń z precyzyjną i szczegółową podpowiedzią sposobu ich eliminacji.

Wzrost liczby zagrożeń ze strony źródeł open-source

Bardzo szybki wzrost liczby zagrożeń bezpieczeństwa źródeł open-source w ostatnich latach to ogromne wyzwanie dla zespołów programistów i specjalistów do spraw bezpieczeństwa.

“W daremnych próbach identyfikacji i uszczelnienia wszystkich słabych punktów, zespoły inżynierów bezpieczeństwa spowalniają programistów i marnują czas na śledzenie problemów, które nie istnieją lub koncentrują się na rzeczywistych obszarach niewielkiego ryzyka, które nie mają bezpośredniego wpływu na ich produkty.”

10 Things to Get Right for Successful DevSecOps

Neil MacDonald, Gartner

Analiza Faktycznego Zagrożenia pozwala szybko sprawdzić czy kod open-source ze zgłoszonymi lukami w zabezpieczeniach odwołuje się do kodu właściwego, tym samym pozwalając na natychmiastową i trafną reakcję. Zdolność określenia najistotniejszych zagrożeń, zamiast prób naprawy wszystkich kolejnych podatności, pozwala nie tylko na zaoszczędzenie cennego czasu i zasobów, ale także znacząco zwiększa bezpieczeństwo produktów użytkownika.

Analiza Faktycznego Zagrożenia zapewnia obiektywną ocenę wpływu konkretnego elementu podwyższonego ryzyka, co pozwala usprawnić współpracę  między programistami i zespołami do spraw bezpieczeństwa w odniesieniu do określania istotności poszczególnych zagrożeń i reagowania na nie.

Efektywna vs nieefektywna podatność komponentu

Efektywna podatność

Gdy kod właściwy wysyła zapytania do podatnej funkcjonalności.

Nieefektywna podatność

Gdy kod właściwy NIE wysyła zapytań do podatnej funkcjonalności.

Technologia analizy faktycznego zagrożenia

Analiza Faktycznego Zagrożenia implementuje zaawansowane, opatentowane algorytmy analizy kodu statycznego, które zapewniają wysoką dokładność wyników, minimalizują wyniki fałszywie pozytywne oraz przyspieszają ten proces – całość analizy trwa często zaledwie kilka minut. System Analizy Faktycznego Zagrożenia został zaprojektowany z uwzględnieniem zaawansowanych przypadków użycia języka, w tym polimorfizmu, wywołań wskaźników, tabel wirtualnych i innych.

System analizuje zgłoszone zagrożenia bezpieczeństwa z komponentów open-source i klasyfikuje je jako efektywne (używając dedykowanego znacznika w przypadku stwierdzenia pośrednich lub bezpośrednich referencji między kodem właściwym i źródłem open-source) lub nieefektywne (używając innego znacznika, gdy nie zostały wykryte żadne referencje).

Zrzut ekranu pokazujÄ…cy wykresy i wyniki z analizy

Analiza Faktycznego Zagrożenia została zaprojektowana z myślą o wysokiej wydajności i skalowalności w celu łatwego dostosowania do wszystkich projektów – od bardzo małych (garstka bibliotek i zależności) do tych naprawdę rozbudowanych (tysiące bibliotek i zależności). Sposób zaprojektowania tego systemu umożliwia ukończenie analizy projektów z kilkoma setkami zależności w ciągu zaledwie kilku minut.

Skanowanie z Analizą Faktycznego Zagrożenia jest uruchamiane przez WhiteSource Unified Agent. Wyniki analizy są wyświetlane w aplikacji WhiteSource i mogą być publikowane jako raporty lub mogą być udostępnione programistycznie poprzez dedykowane API.

Analiza efektywnych i nieefektywnych podatności pokazuje jak potężnym narzędziem jest kategoryzacja na podstawie efektywności. Dane potwierdzają, że liczba alertów o zagrożeniach ze źródeł open-source zmniejszyła się o 70-85%.

Liczba alertów o zagrożeniach ze źródeł open-source zmniejszyła się o 70-85%


Jak korzystać z analizy faktycznego zagrożenia

Ustalanie priorytetowych zagrożeń oparte na ich efektywności

Wyniki analizy dla alertów zagrożeń, przeprowadzonej przy pomocy Analizy Faktycznego Zagrożenia, przedstawione zostały w postaci ikon, które odzwierciedlają wagę alertu. Pozwala to zespołom skupić się w pierwszej kolejności na najbardziej krytycznych problemach:

  1. Stwierdzono, że źródło ryzyka ma bezpośrednie lub pośrednie odniesienie do kodu właściwego.
  2. Nie jest możliwe ustalenie czy źródło ryzyka jest efektywne czy nie.
  3. Źródło ryzyka nie ma bezpośredniego ani pośredniego odniesienia do kodu właściwego.
  4. Zalecane jest nowe skanowanie w celu zaktualizowania informacji o możliwej podatności.
Czerwona tarcza z krzyżykiem - Stwierdzono, że źródło ryzyka ma bezpośrednie lub pośrednie odniesienie do kodu właściwego.
Żółta tarcza ze znakiem zapytania - Nie jest możliwe ustalenie czy źródło ryzyka jest efektywne czy nie.
Zielona tarcza z fajką (tick) - Źródło ryzyka nie ma bezpośredniego ani pośredniego odniesienia do kodu właściwego.
Szara tarcza ze znakiem zapytania - Zalecane jest nowe skanowanie w celu zaktualizowania informacji o możliwej podatności.

Analiza Faktycznego Zagrożenia kategoryzuje i oznacza wagę potencjalnego ryzyka za pomocą tagów w postaci “tarcz”, i tak np. czerwona tarcza to zagrożenie efektywne, a zielona tarcza to zagrożenia nieefektywne.

Użytkownik może również przeglądać dane na poziomie produktu lub organizacji, aby lepiej ocenić ogólny poziom bezpieczeństwa swojego produktu.

Optymalizacja procesów naprawczych

Kiedy efektywne zagrożenie zostaje zidentyfikowane, Analiza Faktycznego Zagrożenia wyświetla pełną drogę zapytania. Dzięki temu programiści otrzymują kompletną ścieżkę do potencjalnie niebezpiecznej funkcjonalności z kodu właściwego i umożliwia im to precyzyjne określenie dokładnej lokalizacji miejsca zwiększonego ryzyka.

Programiści mogą łatwo zobaczyć czego dotyczy dana referencja, np. nazwy pliku, nazwy klasy i konkretną linijkę w kodzie. Takie szczegóły mogą znacznie przyspieszyć wykrycie i naprawę potencjalnych zagrożeń, co przekłada się na skrócenie czasu i zmniejszenie wysiłku jaki musiałby poświęcić temu programista bez mechanizmu automatyzacji.

Zrzut ekranu z widoku śledzenia WhiteSource

Czy chcesz dowiedzieć się więcej na temat możliwości WhiteSource? Skontaktuj się z nami – nasi konsultanci chętnie odpowiedzą na wszystkie pytania!