为了帮助企业解决日益增加的安全债务和不断扩大的攻击面,Veracode宣布了两项新的平台创新。
Veracode 推出了由Longbow提供支持的通用连接器和应用程序安全热图,使企业能够快速识别和确定其应用程序中的安全风险的优先顺序。
这些新功能来得正是时候,因为各组织正努力管理大量的安全警报,并减少系统对威胁(包括生成性人工智能带来的威胁)日益增加的脆弱性。
Veracode 首席研究官 Chris Eng 表示:“不断增加的安全债务、不断扩大的攻击面因生成式人工智能而变得更加脆弱,以及大量的安全警报,这些因素综合起来,使得组织很难知道应该优先考虑哪些应用风险。”
Veracode 的《2024 年软件安全状况语言快照》(PDF)揭示了不同编程语言中安全债务的惊人趋势。该报告将关键安全债务定义为严重程度较高的漏洞,这些漏洞在一年以上仍未得到修复,一旦被利用,将对组织的完整性和可用性构成严重风险。
一项重要发现表明,虽然大多数安全债务存在于内部开发人员编写的第一方代码中,但最关键的安全债务存在于第三方代码中,例如开源软件。例如,Java 应用中 80% 的关键债务和 JavaScript 应用中 63% 的关键债务都存在于第三方代码中。
该报告还强调了开发人员优先修复漏洞的趋势,这令人担忧。在 Java 应用程序中,大约 51% 的严重漏洞会变成安全债务,而只有 45% 的中低级漏洞会变成安全债务。这表明开发人员可能专注于不太严重的问题,而忽略了更严重的漏洞。
Eng 强调了优先解决关键缺陷的重要性:“虽然关注非关键缺陷可能会带来一些快速修复,但开发人员应该利用他们有限的能力来修复对安全影响最大的关键缺陷。”
为了应对这些挑战,Veracode 的新通用连接器允许组织快速访问以前无法带入 Longbow 平台的不同源数据。这样就无需等待特定工具的连接器,从而可以更快地进行分析和采取行动。
应用程序安全热图以可视化方式呈现各个应用程序的风险,将每个应用程序映射到其所有者,并显示 90 天的风险趋势。它还允许自定义风险阈值以符合组织政策。此功能使安全团队和开发人员能够分析应用程序、查看风险分布并实施最有效的补救措施建议。
Veracode 产品管理副总裁 Derek Maki 评论道:“随着企业寻求发现并解决日益严重的关键安全债务,以风险为中心的可视性和优先级排序的必要性显而易见。
“Longbow 平台的新功能让我们的客户能够更深入地了解组织中最危险的应用程序,并能够独特地识别出五大最具影响力的改进解决方案。”
这些创新建立在 Veracode 于 4 月收购 Longbow Security 以及随后于 5 月推出的回购风险可视性和分析功能的基础之上。增强型平台旨在弥合开发团队和安全团队之间的差距,提供从代码存储库到云资产和运行时的全面可视性。
随着企业不断努力应对现代软件开发的复杂性和无处
