WhiteSource – analiza faktycznego zagrożenia
Aktualna i kompletna lista ostrzeżeń o potencjalnych zagrożeniach to dopiero początek drogi do zapewnienia bezpieczeństwa na najwyższym poziomie. Kolejnym krokiem jest określenie istotności poszczególnych alertów.
To właśnie dlatego WhiteSource stworzył Analizę Faktycznego Zagrożenia – technologię, która ustala priorytety niebezpieczeństw w oparciu o ich wpływ na produkt i pomaga zespołom skoncentrować się na tym co jest najistotniejsze dla firmy.
Analiza Faktycznego Zagrożenia ułatwia także łatanie potencjalnie niebezpiecznych punktów w komponentach open-source poprzez zapewnienie pełnej analizy całego kodu.
Dzięki Analizie Faktycznego Zagrożenia zespoły programistów i inżynierowie bezpieczeństwa, pracujący na co dzień z zarządzaniem zagrożeniami źródeł open-source, mogą teraz polegać na automatycznej klasyfikacji zagrożeń z precyzyjną i szczegółową podpowiedzią sposobu ich eliminacji.
Wzrost liczby zagrożeń ze strony źródeł open-source
Bardzo szybki wzrost liczby zagrożeń bezpieczeństwa źródeł open-source w ostatnich latach to ogromne wyzwanie dla zespołów programistów i specjalistów do spraw bezpieczeństwa.
“W daremnych próbach identyfikacji i uszczelnienia wszystkich słabych punktów, zespoły inżynierów bezpieczeństwa spowalniają programistów i marnują czas na śledzenie problemów, które nie istnieją lub koncentrują się na rzeczywistych obszarach niewielkiego ryzyka, które nie mają bezpośredniego wpływu na ich produkty.”
10 Things to Get Right for Successful DevSecOps
Neil MacDonald, Gartner
Analiza Faktycznego Zagrożenia pozwala szybko sprawdzić czy kod open-source ze zgłoszonymi lukami w zabezpieczeniach odwołuje się do kodu właściwego, tym samym pozwalając na natychmiastową i trafną reakcję. Zdolność określenia najistotniejszych zagrożeń, zamiast prób naprawy wszystkich kolejnych podatności, pozwala nie tylko na zaoszczędzenie cennego czasu i zasobów, ale także znacząco zwiększa bezpieczeństwo produktów użytkownika.
Analiza Faktycznego Zagrożenia zapewnia obiektywną ocenę wpływu konkretnego elementu podwyższonego ryzyka, co pozwala usprawnić współpracę między programistami i zespołami do spraw bezpieczeństwa w odniesieniu do określania istotności poszczególnych zagrożeń i reagowania na nie.
Efektywna vs nieefektywna podatność komponentu
Efektywna podatność
Gdy kod właściwy wysyła zapytania do podatnej funkcjonalności.
Nieefektywna podatność
Gdy kod właściwy NIE wysyła zapytań do podatnej funkcjonalności.
Technologia analizy faktycznego zagrożenia
Analiza Faktycznego Zagrożenia implementuje zaawansowane, opatentowane algorytmy analizy kodu statycznego, które zapewniają wysoką dokładność wyników, minimalizują wyniki fałszywie pozytywne oraz przyspieszają ten proces – całość analizy trwa często zaledwie kilka minut. System Analizy Faktycznego Zagrożenia został zaprojektowany z uwzględnieniem zaawansowanych przypadków użycia języka, w tym polimorfizmu, wywołań wskaźników, tabel wirtualnych i innych.
System analizuje zgłoszone zagrożenia bezpieczeństwa z komponentów open-source i klasyfikuje je jako efektywne (używając dedykowanego znacznika w przypadku stwierdzenia pośrednich lub bezpośrednich referencji między kodem właściwym i źródłem open-source) lub nieefektywne (używając innego znacznika, gdy nie zostały wykryte żadne referencje).
Analiza Faktycznego Zagrożenia została zaprojektowana z myślą o wysokiej wydajności i skalowalności w celu łatwego dostosowania do wszystkich projektów – od bardzo małych (garstka bibliotek i zależności) do tych naprawdę rozbudowanych (tysiące bibliotek i zależności). Sposób zaprojektowania tego systemu umożliwia ukończenie analizy projektów z kilkoma setkami zależności w ciągu zaledwie kilku minut.
Skanowanie z Analizą Faktycznego Zagrożenia jest uruchamiane przez WhiteSource Unified Agent. Wyniki analizy są wyświetlane w aplikacji WhiteSource i mogą być publikowane jako raporty lub mogą być udostępnione programistycznie poprzez dedykowane API.
Analiza efektywnych i nieefektywnych podatności pokazuje jak potężnym narzędziem jest kategoryzacja na podstawie efektywności. Dane potwierdzają, że liczba alertów o zagrożeniach ze źródeł open-source zmniejszyła się o 70-85%.
Jak korzystać z analizy faktycznego zagrożenia
Ustalanie priorytetowych zagrożeń oparte na ich efektywności
Wyniki analizy dla alertów zagrożeń, przeprowadzonej przy pomocy Analizy Faktycznego Zagrożenia, przedstawione zostały w postaci ikon, które odzwierciedlają wagę alertu. Pozwala to zespołom skupić się w pierwszej kolejności na najbardziej krytycznych problemach:
- Stwierdzono, że źródło ryzyka ma bezpośrednie lub pośrednie odniesienie do kodu właściwego.
- Nie jest możliwe ustalenie czy źródło ryzyka jest efektywne czy nie.
- Źródło ryzyka nie ma bezpośredniego ani pośredniego odniesienia do kodu właściwego.
- Zalecane jest nowe skanowanie w celu zaktualizowania informacji o możliwej podatności.
Analiza Faktycznego Zagrożenia kategoryzuje i oznacza wagę potencjalnego ryzyka za pomocą tagów w postaci “tarcz”, i tak np. czerwona tarcza to zagrożenie efektywne, a zielona tarcza to zagrożenia nieefektywne.
Użytkownik może również przeglądać dane na poziomie produktu lub organizacji, aby lepiej ocenić ogólny poziom bezpieczeństwa swojego produktu.
Optymalizacja procesów naprawczych
Kiedy efektywne zagrożenie zostaje zidentyfikowane, Analiza Faktycznego Zagrożenia wyświetla pełną drogę zapytania. Dzięki temu programiści otrzymują kompletną ścieżkę do potencjalnie niebezpiecznej funkcjonalności z kodu właściwego i umożliwia im to precyzyjne określenie dokładnej lokalizacji miejsca zwiększonego ryzyka.
Programiści mogą łatwo zobaczyć czego dotyczy dana referencja, np. nazwy pliku, nazwy klasy i konkretną linijkę w kodzie. Takie szczegóły mogą znacznie przyspieszyć wykrycie i naprawę potencjalnych zagrożeń, co przekłada się na skrócenie czasu i zmniejszenie wysiłku jaki musiałby poświęcić temu programista bez mechanizmu automatyzacji.
Czy chcesz dowiedzieć się więcej na temat możliwości WhiteSource? Skontaktuj się z nami – nasi konsultanci chętnie odpowiedzą na wszystkie pytania!