الشركة تطلق Veracode Risk Manager وتحسينات في مجال المعالجة المدعومة بالذكاء الاصطناعي
لاس فيغاس
أعلنت اليوم شركة Veracode، في مؤتمرAWS Re:Invent (الجناح رقم 563)، وهي الشركة الرائدة عالميًا في إدارة مخاطر التطبيقات، عن ابتكارات قوية لمساعدة المطورين على بناء برامج آمنة من حيث التصميم، ومساعدة فرق الأمن على تقليل المخاطر عبر نظامهم البيئي من التعليمات البرمجية إلى السحابة. تتيح أحدث التحسينات في Veracode Fix وVeracode Risk Manager، المعروف سابقًا باسم Longbow Security، للمطورين القدرة على إنشاء البرامج وتقييم المخاطر وإصلاحها بنقرة زر في بيئتهم المفضلة.
قال Tim Jarrett، نائب رئيس مجموعة إدارة المنتجات في Veracode: “قبل ستة أشهر، وقعنا بفخر على تعهد Secure By Design التابع لوكالة الأمن السيبراني وأمن البنية التحتية (CISA)، والذي يهدف إلى دمج الأمن السيبراني في تصميم وتصنيع المنتجات التكنولوجية. وللوفاء بهذا الوعد، تواصل Veracode الاستثمار في ميزات جديدة تعمل على إجراء الاختبارات الأمنية في وقت أقرب وتجعلها تجربة أكثر أتمتة وسلاسة للمطورين.
الإصلاح المدعوم بالذكاء الاصطناعي في بيئة التطوير المتكاملة للمطورين
إن انفجار الذكاء الاصطناعي يعني أن الكود أصبح يُكتب الآن بشكل أسرع من أي وقت مضى – ولكن التحدي هو أن الكود الذي يولده الذكاء الاصطناعي يحتوي على نفس النسبة تقريبًا من العيوب الموجودة في الكود الذي يولده الإنسان. مع غرق 71 بالمائة من المؤسسات في ديون أمنية نتيجة لسنوات من الثغرات البرمجية المتراكمة، فإن المطورين في حاجة ماسة إلى أدوات لتسريع معالجة العيوب.
تعني أحدث الابتكارات في Veracode Fix، التي تجمع بين الذكاء الاصطناعي والخبرة البشرية لتقليل وقت الإصلاح من أشهر إلى دقائق، أن المطورين لديهم الآن إمكانية الوصول إلى إصلاحات فورية للكود لما يصل إلى 80 بالمائة من نقاط الضعف الخاصة بالطرف الأول. بالنسبة لمنظمة بها 2000 ثغرة أمنية، فإن هذا يعني أن استخدام الأداة قد يقلل الوقت اللازم لتسوية الديون الأمنية بما يصل إلى 2400 ساعة، مما يوفر 240 ألف دولار مقارنة بالإصلاح اليدوي.
قال Jarrett: “لقد استمعنا بعناية إلى تعليقات المطورين الذين أحبوا الأداة وأرادوا دمجها في سير عملهم. مع قيام العديد من عملائنا بالبناء في بيئات مثل GitHub كل يوم، قمنا بإدخال Veracode Fix مباشرة في أنشطة طلب الدفع/السحب الخاصة بهم. يمكن تكوين إجراء GitHub المرن الخاص بنا لإصلاح جميع الملفات في مشروع ما، وإصلاح جميع أنواع العيوب المدعومة، وتمكين المطورين من ترك تعليقات فردية على كل اقتراح إصلاح”.
يتوفر Veracode Fix في جميع بيئات التطوير المتكاملة (IDE)، مما يعني أن المطورين يمكنهم إصلاح الثغرات الأمنية بضغطة زر في مسارات الإدماج المستمر/النشر المستمر الخاصة بهم والتأكد من أنهم يقومون ببناء برامج آمنة من حيث التصميم.
تساعد الأداة بالفعل العملاء على جعل الابتكار الأمني حقيقة قابلة للقياس. قال Phillip Hagedorn، مهندس السحابة في HDI Global SE: “سيكون أحد عوامل النجاح المستقبلية هو الذكاء الاصطناعي لـ Veracode الذي يساعد في إصلاح النتائج التي توصلنا إليها. الإصلاحات الداعمة للذكاء الاصطناعي تغير قواعد اللعبة. لدينا خطة معتمدة للاستفادة من الذكاء الاصطناعي، وقد حان الوقت لطرحها”.
بفضل دعم بيئات التطوير المتكاملة الأحدث من Veracode، يمكن للمطورين أيضًا العثور على الثغرات الأمنية وإصلاحها في التعليمات البرمجية الأصلية والمفتوحة المصدر قبل إضافتها إلى قاعدة التعليمات البرمجية. وهذا يعني تدفقات عمل أكثر انسيابية وحل المشكلات باستخدام التحليل الثابت وتحليل تكوين البرامج في Visual Code Studio، وJetBrains (IntelliJ، وPyCharm، وRider)، وEclipse، وVisual Studio.
إدارة وضع أمان التطبيقات باستخدام Veracode Risk Manager لفرق الأمان
إلى جانب Veracode Fix، يقوم Veracode Risk Manager (VRM) بربط المخاطر ووضعها في سياقها من التعليمات البرمجية إلى السحابة، وتتبعها مرة أخرى إلى السبب الجذري لتمكين المعالجة الفردية. تتيح هذه الرؤية الشاملة لفرق الأمان تحديد الأولويات والقضاء على الثغرات الأكثر خطورة بأقل قدر من الجهد.
تمنح سلسلة من التطورات الجديدة في إدارة المخاطر الافتراضية (VRM) المطورين وفرق الأمن سيطرة أكبر على إدارة المخاطر. تشمل أحدث الميزات ما يلي:
- GitLab Repository Connector: تمكين تحليل السبب الجذري لمشاكل وقت التشغيل من خلال تتبعها مباشرة إلى مستودع التعليمات البرمجية المصدر، مما يسمح للفرق بتحديد أصل المخاطر وتسريع عملية العلاج.
- GitLab Ultimate Security Findings: يتيح استيعاب وتوحيد وربط وتحديد أولويات نتائج Gitlab Ultimate Security بما في ذلك نتائج التحليل الثابت وأمان الحاوية. وهذا يُمكّن الفرق من التركيز على القضايا الأكثر أهمية ويوفر تقارير موحدة عن المخاطر والامتثال.
- Custom Compliance Mappings: يزود المؤسسات بالأدوات اللازمة لتخصيص تعيينات الامتثال وفقًا لمتطلباتها المحددة، مما يُسهِّل إدارة الامتثال.
- New Connectors: تحتوي إدارة المخاطر الافتراضية على العديد من موصلات النتائج الأصلية الجديدة، بما في ذلك Tenable، وQualys، وRapid7، وAquasec، وServiceNow Two-Way sync، والمزيد.
“VRM هي دماغ الأمن السحابي الأصلي، مما يجعلها أداة لا غنى عنها للمؤسسات الملتزمة بتحصين دفاعاتها في عالم السحابة الأصلي. تعالج الأداة التحديات الشائعة، مثل الرؤية المجزأة والقيود المفروضة على قابلية التوسع، وتغير الطريقة التي تقوم بها المؤسسات بتصور المخاطر وتحديد أولوياتها ومعالجتها من خلال رؤية شاملة للثغرات الأمنية. وأضاف Jarrett: “إن هذه التحسينات الأخيرة، إلى جانب ميزات Application Risk Heatmap وUniversal Connector التي أطلقناها في وقت سابق من هذا العام، تجعل من VRM ترقية تحويلية للمؤسسات التي تأخذ الأمن على محمل الجد”.
مساعدة المؤسسات على بناء تصميم آمن
يُركِّز Ravi Iyer، الذي تم تعيينه مؤخرًا في منصب مدير المنتجات في Veracode، على دمج الأمان في تطوير المنتجات وتحسين تجربة المطور بشكل عام. “تؤكد هذه الابتكارات الأخيرة على أهمية بناء وشراء ونشر برامج آمنة حسب التصميم. يحتاج عملاؤنا إلى حلول تساعدهم على تحديد المخاطر وإدارتها ومعالجتها على نطاق واسع، وسنستمر في تلبية هذا الطلب من خلال جعل منتجات Veracode متكاملة وسهلة الاستخدام للمطورين”.