В современном мире компоненты с открытым исходным кодом играют большую роль в разработке приложений, но количество атак на эти цепочки поставок возрастает. Для эффективного обнаружения связанных уязвимостей стоит использовать решения для анализа программных компонентов (Software Composition Analysis, SCA).
Invicti (ранее Netsparker), лидер среди сканеров DAST для веб-приложений, имеет готовую интеграцию с Mend SCA. Сочетая их подходы, они дают комплексное представление об уязвимостях компонентов с открытым исходным кодом.
Безопасность цепочки поставок
Широкое использование компонентов с открытым кодом сделало SCA важным инструментом в AppSec. Однако получение надежных результатов выходит за рамки простого определения компонентов с уязвимостями.
Invicti предоставляет возможности динамического SCA с помощью IAST в решении DAST. Этот метод помогает уменьшить ошибочные срабатывания, давая видимость слабых мест во время выполнения. Однако он ограничен компонентами, используемыми во время анализа.
В свою очередь традиционный статический SCA применяется на этапе разработки и может проверять компоненты, которые не используются во время выполнения. Хотя это обеспечивает более широкий охват, такой метод может рассеивать внимание на неприоритетные исправления. К примеру, результаты касательно компонентов, которые на самом деле никогда не применяются. Благодаря интеграции между Invicti и Mend SCA, сильные стороны как статического, так и динамического анализа программных компонентов сочетаются в одной платформе AppSec. Это обеспечивает лучшие результаты с широким охватом.
Подход Invicti к безопасности цепочки поставок на основе DAST сочетает в себе несколько методов. Сначала компоненты проходят те же проверки безопасности, что и все веб-приложение. Это включает выявление недостатков, которые могут привести к атакам. Например, к SQL-инъекциям, межсайтовому скриптингу (XSS), подделке запросов на стороне сервера (SSRF) и так далее. Также проводится проверка на известные CVE (Common Vulnerabilities and Exposures, Общие уязвимости и риски). Кроме того, компоненты технического стека идентифицируются и обозначаются, если они устаревшие или уязвимые.
Приоритизация исправлений
Интеграция сочетает Mend SCA с динамическим анализом от Invicti для обнаружения компонентов с открытым исходным кодом и определения приоритетов в устранении уязвимостей на основе их уровня серьезности. Используя технологию Proof-Based сканирования от Invicti, этот подход обеспечивает наиболее точные результаты, позволяя командам сосредоточить усилия на исправлении, основанные на степени риска каждого компонента.
Интеграция в CI/CD пайплайны и рабочие процессы разработчиков
Компоненты с открытым исходным кодом помогают командам быстрее создавать программное обеспечение, поэтому анализ должен бесперебойно работать в их рабочих процессах. Это позволяет улучшить безопасность, не препятствуя инновациям. Платформа Invicti интегрируется с распространенными инструментами CI/CD и системами отслеживания ошибок, обеспечивая централизованный статический и динамический SCA вместе с DAST и IAST от Invicti, а также SAST от Mend.io.
Таким образом, компании могут отслеживать безопасность компонентов с открытым кодом и включить эффективные решения в свою стратегию AppSec.
