У сучасному світі компоненти з відкритим вихідним кодом відіграють велику роль у розробці додатків, але кількість атак на ці ланцюги постачання зростають. Для ефективного виявлення пов’язаних вразливостей варто використовувати рішення для аналізу програмних компонентів (Software Composition Analysis, SCA).
Invicti (раніше Netsparker), лідер серед сканерів DAST для вебдодатків, має готову інтеграцію з Mend SCA. Поєднуючи їхні підходи, вони надають комплексне уявлення про вразливості компонентів з відкритим вихідним кодом.
Безпека ланцюга постачання
Широке використання компонентів з відкритим кодом зробило SCA важливим інструментом в AppSec. Однак отримання надійних результатів виходить за рамки простого визначення компонентів із вразливостями.
Invicti дає можливості динамічного SCA за допомогою IAST в рішенні DAST. Цей метод допомагає зменшити помилкові спрацьовування, надаючи видимість слабких місць під час виконання. Проте він обмежений компонентами, які використовуються під час аналізу.
На противагу, традиційний статичний SCA застосовується на етапі розробки та може перевіряти компоненти, які не використовуються під час виконання. Хоча це забезпечує ширше охоплення, такий метод може розсіювати увагу на непріоритетні виправлення. Наприклад, результати щодо компонентів, які насправді ніколи не застосовуються. Завдяки інтеграції між Invicti та Mend SCA сильні сторони як статичного, так і динамічного аналізу програмних компонентів поєднуються в одній платформі AppSec. Це забезпечує кращі результати з широким охопленням.
Підхід Invicti до безпеки ланцюга постачання на основі DAST поєднує кілька методів. Спочатку компоненти проходять ті самі перевірки безпеки, що й увесь вебдодаток. Це включає виявлення недоліків, які можуть призвести до атак. До прикладу, до SQL-ін’єкцій, міжсайтового скриптингу (XSS), підробки запитів на стороні сервера (SSRF) тощо. Також проводиться перевірка на відомі CVE (Common Vulnerabilities and Exposures, Загальні вразливості та ризики). Крім того, компоненти технічного стека ідентифікуються та позначаються, якщо вони застарілі або вразливі.
Пріоритезація виправлень
Інтеграція поєднує Mend SCA з динамічним аналізом від Invicti для виявлення компонентів з відкритим вихідним кодом та визначення пріоритетів в усуненні вразливостей на основі їх рівня серйозності. Використовуючи технологію Proof-Based сканування від Invicti, цей підхід забезпечує найбільш точні результати, дозволяючи командам зосередити зусилля на виправленні, що базуються на ступені ризику кожного компоненту.
Інтеграція в CI/CD пайплайни та робочі процеси розробників
Компоненти з відкритим вихідним кодом допомагають командам швидше створювати програмне забезпечення, тому аналіз має безперебійно працювати в їх робочих процесах. Це дозволяє покращити безпеку, не перешкоджаючи інноваціям. Платформа Invicti інтегрується з провідними інструментами CI/CD і системами відстеження помилок, забезпечуючи централізований статичний і динамічний SCA разом із DAST і IAST від Invicti, а також SAST від Mend.io.
Таким чином компанії можуть відстежувати безпеку компонентів з відкритим кодом і включити ефективні рішення у свою стратегію AppSec.
